Nagiosのstatuswml.cgiの脆弱性(CVE-2009-2288)に関する検証レポート(NTTデータ・セキュリティ) | ScanNetSecurity
2026.04.16(木)

Nagiosのstatuswml.cgiの脆弱性(CVE-2009-2288)に関する検証レポート(NTTデータ・セキュリティ)

 NTTデータ・セキュリティ株式会社は7月6日、「Nagiosのstatuswml.cgiの脆弱性(CVE-2009-2288)に関する検証レポート」を公開した。Nagiosは、ブラウザからホストの稼働状態を監視可能にするプログラム。Nagios 3.1.1より前のバージョンには、statuswml.cgiファイルに

製品・サービス・業界動向 業界動向
23 views
facebookLINE
 NTTデータ・セキュリティ株式会社は7月6日、「Nagiosのstatuswml.cgiの脆弱性(CVE-2009-2288)に関する検証レポート」を公開した。Nagiosは、ブラウザからホストの稼働状態を監視可能にするプログラム。Nagios 3.1.1より前のバージョンには、statuswml.cgiファイルにコマンドインジェクションを受ける脆弱性が確認されており、この脆弱性によってリモートからWebサービスの実行権限で任意のコマンドが実行可能になるという。

 同社では今回、この脆弱性の再現性について検証を行った。検証ターゲットシステムにはNagios 3.0.6を使用し、これに対して細工したHTTPリクエストを送信することで任意のコマンドを実行できるか検証した。この結果、ターゲットシステムから「/etc/passwd」ファイルを読み出すことに成功した。これによりユーザの一覧を取得し、さらなる制御の奪取も可能となる。また、ソースコードも閲覧できるため、なりすましに悪用される可能性もある。この脆弱性を解消するには、最新バージョン(3.1.2)へのアップデートが推奨されている。

http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090707.pdf

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

    「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

  2. ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

    ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

  3. テインへのランサムウェア攻撃、サーバ上に犯行声明文ファイルを確認

    テインへのランサムウェア攻撃、サーバ上に犯行声明文ファイルを確認

  4. 不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ~ 2025年「コンピュータウイルス・不正アクセスの届出状況」

    不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ~ 2025年「コンピュータウイルス・不正アクセスの届出状況」

  5. 生産プラントに影響なく操業継続 ~ 住友金属鉱山のフィリピン子会社にランサムウェア攻撃

    生産プラントに影響なく操業継続 ~ 住友金属鉱山のフィリピン子会社にランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP