CVE-2011-10040 | Nagios XI < 2011R1.9 XSS via Status/Report Page Link Functions

Nagios XI versions prior to 2011R1.9 are vulnerable to cross-site scripting (XSS) via the link-handling functions used by status and report pages. Insufficient validation or escaping of user-supplied input may allow an attacker to inject and execute arbitrary script in the context of a victim's browser.

公开: 2025-10-30 最后更新: 2026-06-16 分配方: [email protected] 来源: [email protected]

结论预警: CVE-2011-10040 综合评估为低风险(29.7/100):CVSS 技术影响为中级,利用概率偏低(EPSS 0.35%) 强制指令: 持续跟踪利用情报与 EPSS 变化,并适时复评优先级。

风险随态势动态变化;本站持续评估并同步更新本页展示内容。

CVE-2011-10040 的 EPSS(利用预测评分)

EPSS 日更估计相对被利用可能性;百分位表示该 CVE 在已评分漏洞中的相对排名(越高表示相对更严重)。

# 日期 旧 EPSS 分数 新 EPSS 分数 变化(新 − 旧)
1 2026-06-15 0.50% 0.35% -0.15%
2 2026-05-26 0.38% 0.50% +0.13%
3 2026-04-09 0.38%

完整 EPSS 历史 (共 8 条)

CVE-2011-10040 的 CVSS 指标

该 CVE 的 CVSS 指标。

底座分 版本 严重度 向量 可利用性 影响 分数来源
5.1 4.0 MEDIUM
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X 点击展开
攻击向量 (AV:N)
经互联网或企业可路由网段即可远程触达,攻击者不必出现在设备旁。
攻击复杂度 (AC:L)
步骤短、路径清晰,复现成本低。
攻击要求 (AT:N)
除网络可达外,不必额外凑齐罕见基础设施或数据形态。
权限要求 (PR:L)
一般用户权限足够,不必管理员/root。
用户交互 (UI:P)
浏览、预览等偏被动行为即可成为跳板。
受影响系统的机密性影响 (VC:N)
从被攻破的组件几乎读不走有价值的机密数据。
受影响系统的完整性影响 (VI:N)
对记录真伪与业务规则几乎不构成威胁。
受影响系统的可用性影响 (VA:N)
不至于出现业务意义上的长时间停摆或灾难性性能崩塌。
后续系统的机密性影响 (SC:L)
下游部分资产可能出现有限泄露。
后续系统的完整性影响 (SI:L)
下游局部组件可能被改写,但整体仍可信。
后续系统的可用性影响 (SA:N)
下游不至于被拖到长时间瘫痪。
利用成熟度(Threat) (E:X)
未给出威胁情报时,按“最坏侧”(等同已遭利用)计分。
机密性安全需求(环境) (CR:X)
未指定时视为信息不足,评分按高要求(保守)处理。
完整性安全需求(环境) (IR:X)
未指定时视为信息不足,评分按高要求(保守)处理。
可用性安全需求(环境) (AR:X)
未指定时视为信息不足,评分按高要求(保守)处理。
修改后的攻击向量 (MAV:X)
环境未覆盖时,沿用基准 AV。
修改后的攻击复杂度 (MAC:X)
环境未覆盖时,沿用基准 AC。
修改后的攻击要求 (MAT:X)
环境未覆盖时,沿用基准 AT。
修改后的权限要求 (MPR:X)
环境未覆盖时,沿用基准 PR。
修改后的用户交互 (MUI:X)
环境未覆盖时,沿用基准 UI。
修改后的受影响系统机密性影响 (MVC:X)
环境未覆盖时,沿用基准 VC。
修改后的受影响系统完整性影响 (MVI:X)
环境未覆盖时,沿用基准 VI。
修改后的受影响系统可用性影响 (MVA:X)
环境未覆盖时,沿用基准 VA。
修改后的后续系统机密性影响 (MSC:X)
环境未覆盖时,沿用基准 SC。
修改后的后续系统完整性影响 (MSI:X)
环境未覆盖时,沿用基准 SI。
修改后的后续系统可用性影响 (MSA:X)
环境未覆盖时,沿用基准 SA。
安全性(补充,不改变数值分) (S:X)
未评估人的安全后果。
可自动化(补充,不改变数值分) (AU:X)
未评估自动化程度。
恢复(补充,不改变数值分) (R:X)
未评估恢复路径。
价值密度(补充,不改变数值分) (V:X)
未评估单事件掌握资产规模。
漏洞响应工作量(补充,不改变数值分) (RE:X)
未评估修复成本。
提供方紧急度(补充,不改变数值分) (U:X)
未给出厂商色标。
[email protected]
5.4 3.1 MEDIUM
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 点击展开
攻击向量 (AV:N)
经互联网或企业内可路由网段即可从远端触达,攻击者不必出现在设备旁。
攻击复杂度 (AC:L)
前置条件清晰,成功路径稳定,不依赖罕见竞态或苛刻环境。
权限要求 (PR:L)
一般用户权限即可,不必是管理员或 root。
用户交互 (UI:R)
需要一次明确的用户动作(安装、改配置、打开恶意文档等)才会落地。
作用域 (S:C)
可从脆弱组件横向波及其他组件或更高权限域,爆炸半径更大。
机密性影响 (C:L)
可能外泄部分字段或样本数据,但难以形成“整库拖走”的局面。
完整性影响 (I:L)
能改局部记录或配置,但尚不致让整站/整库数据整体不可信。
可用性影响 (A:N)
不至于造成业务意义上的长时间停摆或灾难性性能崩塌。
2.3 2.7 [email protected]

CVE-2011-10040 的弱点枚举

CVE-2011-10040 的影响软件 / 配置

厂商 产品 版本 原始 CPE
nagios nagios_xi <= 2009 cpe:2.3:a:nagios:nagios_xi:*:*:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1.1:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1.2:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1.3:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1.4:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1.5:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1.6:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1.7:*:*:*:*:*:*
nagios nagios_xi 2011 cpe:2.3:a:nagios:nagios_xi:2011:r1.8:*:*:*:*:*:*

CVE-2011-10040 的参考链接

cvelogic Threat Intelligence