广泛部署的网络监控解决方案 Nagios XI，已修复其 “图表浏览器”（Graph Explorer）功能中存在的一个严重跨站脚本（XSS）漏洞。该漏洞可能使远程攻击者在用户浏览器中执行恶意 JavaScript 代码。 该安全漏洞由安全研究员马吕斯・利赫特（Marius Lihet）通过 “负责任披露” 机制上报后，Nagios 官方在 2025 年 8 月 12 日发布的 2024R2.1 版本中对其进行了修复。

核心要点

1. Nagios XI “图表浏览器” 中的严重 XSS 漏洞允许远程执行 JavaScript 代码。
2. 攻击者可利用该漏洞实施会话劫持、数据窃取或配置篡改。
3. 建议立即升级版本，并启用 Web 应用防火墙（WAF）的 XSS 防护功能。

该漏洞具体影响 “图表浏览器” 组件中的部分参数。“图表浏览器” 是管理员用于可视化网络性能指标及历史数据趋势的核心功能模块。 此类 XSS 漏洞的典型成因是：用户提供的输入在渲染到网页之前未经过充分的安全清洗（ sanitization ），导致恶意脚本可被注入，并在合法用户的会话上下文环境中执行。

跨站脚本（XSS）漏洞详解

通过 “图表浏览器” 功能发起的跨站脚本攻击，可能使攻击者实施会话劫持、窃取身份验证 Cookie，或在 Nagios XI 界面中执行未授权的管理操作。

攻击者可构造包含 JavaScript 有效载荷的恶意 URL。当已通过身份验证的用户访问该 URL 时，恶意 JavaScript 代码会在用户的浏览器中执行，且具备该用户 Nagios 会话的操作权限。

利用该漏洞需借助社会工程学手段：攻击者需诱骗合法用户点击特制链接，或访问触发 XSS 有效载荷的受攻陷页面。

恶意 JavaScript 代码一旦执行，可能会访问敏感监控数据、修改系统配置，或成为攻击者在网络基础设施中进一步横向移动的 “跳板”。

除修复上述 XSS 漏洞外，2024R2.1 版本还引入了多项重要的安全增强与功能优化：

• 该更新强化了 Nagios Mod-Gearman 集成功能（问题编号：GL:XI#1242），可提供分布式监控能力，并提升大型企业环境中的系统扩展性。
• 修复了关键的身份验证与仪表板管理问题，包括解决 “无个人仪表板用户的仪表板条目为空” 的问题（问题编号：GL:XI#1975），以及优化 “处理大型用户目录时的单点登录（SSO）用户导入功能”（问题编号：GL:XI#1966）。
• 实现了更新后的日志轮转（logrotate）配置逻辑（问题编号：GL:XI#333），确保系统升级过程中日志管理功能正常运行。

网络管理员应立即将 Nagios XI 升级至 2024R2.1 版本，以缓解该 XSS 漏洞风险，并利用新增的安全控制功能。

企业还应审查 Nagios XI 的访问日志，排查 “图表浏览器” 功能是否存在可疑活动；同时部署额外的 Web 应用防火墙（WAF）规则，检测并拦截针对监控基础设施的潜在 XSS 攻击尝试。

标签（TAGS）：网络安全（cyber security）、网络安全新闻（cyber security news）、漏洞（vulnerability）

关键术语补充说明

1. Nagios XI：一款主流的企业级网络监控解决方案，可监控服务器、网络设备、应用程序等 IT 基础设施的运行状态，生成性能报表与告警通知。
2. XSS（Cross-Site Scripting，跨站脚本）：一种常见的 Web 安全漏洞，攻击者通过向网页注入恶意 JavaScript 代码，当用户访问受影响页面时，代码在用户浏览器中执行，可实现会话劫持、数据窃取等攻击。
3. WAF（Web Application Firewall，Web 应用防火墙）：部署在 Web 应用前端的安全防护设备 / 软件，可检测并拦截 SQL 注入、XSS 等针对 Web 应用的攻击。
4. Session Hijacking（会话劫持）：攻击者通过窃取用户的会话标识（如 Cookie），冒充合法用户登录系统，获取相应操作权限的攻击手段。
5. Logrotate：Linux 系统中的日志管理工具，可自动实现日志文件的轮转、压缩与清理，避免日志文件过大占用存储空间。