Tactifail

**Nome do Software Vulnerável e Versões Afetadas** Versões do Nagios XI anteriores à 5.7.2 **Descrição** Versões do Nagios XI anteriores à 5.7.2 permitem o upload e execução de arquivos PHP dentro do diretório de Importação de Áudio. O processo de upload não restringe adequadamente os tipos de arquivo nem garante o armazenamento fora do webroot, e o servidor web permite a execução dentro do diretório de upload. Um atacante autenticado com acesso à funcionalidade de importação de áudio pode fazer upload de um arquivo PHP malicioso e, em seguida, requisitá-lo, levando à execução remota de código com os privilégios do serviço da aplicação. **Recomendações** Atualize para a versão 5.7.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Nagios XI anteriores à 5.7.2 **Descrição** Versões do Nagios XI anteriores à 5.7.2 estão suscetíveis a cross-site scripting (XSS) por meio das configurações de cor de fundo nos Dashboards. Isso se deve à validação ou escape inadequados de entrada fornecida pelo usuário, o que pode permitir que um atacante injete e execute script arbitrário no navegador de uma vítima. **Recomendações** Atualize para a versão 5.7.2 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Nagios XI versions prior to 5.7.2 **Description** Nagios XI versions prior to 5.7.2 are susceptible to cross-site scripting (XSS) through the Business Process Intelligence (BPI) component’s Config Management and Edit Config page. Insufficient validation or escaping of user-supplied input may allow an attacker to inject and execute arbitrary script in the context of a victim's browser. **Recommendations** Update to version 5.7.2 or later.