重大度: 中程度 日付: 2025年10月30日 影響対象: Fusion < 4.2.0 CVE: CVE-2023-53690 CWE: CWE-79 - ウェブページ生成時の入力neutralizationの不備(XSSまたは「クロスサイトスクリプティング」) CVSS: 6.2 CVSS V4ベクター: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N 参考文献: - Nagios Fusion 開示情報 - Nagios Fusion 変更履歴 謝辞: Tisha Manandhar 説明: 4.2.0より前のNagios Fusionバージョンには、LDAP/AD認証サーバー設定における保存型クロスサイトスクリプティング(XSS)の脆弱性が存在します。検証されていないユーザー入力が保存され、後に管理画面でレンダリングされることで、影響を受けるページを閲覧する任意のユーザーのブラウザでJavaScriptコードが実行されます。LDAP/AD統合を介して認証サーバーを追加できる攻撃者は、他のユーザーのブラウザのコンテキストで実行される悪意のあるペイロードを永続化できる可能性があります。