https://blog.qife122.com/tags/cve-2025-34288/ Recent content in CVE-2025-34288 on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 17:18:42 +0800 https://blog.qife122.com/p/nagios-xi%E6%9C%AC%E5%9C%B0%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-34288%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%8E%AA%E6%96%BD/ Sun, 28 Dec 2025 17:18:42 +0800 https://blog.qife122.com/p/nagios-xi%E6%9C%AC%E5%9C%B0%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-34288%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%8E%AA%E6%96%BD/ <h1 id="cve-2025-34288-nagios-enterprises-nagios-xi-中关键资源权限分配不当漏洞">CVE-2025-34288: Nagios Enterprises Nagios XI 中关键资源权限分配不当漏洞</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <h2 id="描述">描述</h2> <p>Nagios XI 2026R1.1 之前的版本存在本地权限提升漏洞，其根源在于 sudo 权限与应用程序文件权限之间存在不安全的交互。一个用户可访问的维护脚本可以通过 sudo 以 root 权限执行，而该脚本包含一个可由低权限用户写入的应用程序文件。拥有应用程序帐户访问权限的本地攻击者可以修改此文件以注入恶意代码，当脚本运行时，这些代码将以提升的权限执行。成功利用此漏洞将导致以 root 用户身份执行任意代码。</p>