<br><br><div><span class="gmail_quote">On 4/2/07, <b class="gmail_sendername">sean finney</b> <<a href="mailto:seanius@seanius.net">seanius@seanius.net</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
hey ethan et al,<br><br>someone raised a bug in the debian bts:<br><br><a href="http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=416814">http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=416814</a><br><br>basically bringing to light the fact that the output from various
<br>plugins is placed verbatim into web page output.  the theoretical<br>problem with this is that some remote host could place XSS code in the<br>output, making it possible to hijack/co-opt the nagios admin's web<br>
browser to do naughty things.<br><br></blockquote></div><br>This same bug exists in config.c when displaying arguments TO the plugins.<br><br>-David<br>