开源组件的使用已经很普遍，由于开源组件存在漏洞而导致的安全事件也屡见不鲜。管理在应用和容器中使用开源和第三方代码所带来的安全、质量和许可证合规性风险至关重要，尤其像Nagios这类广泛应用的开源免费网络监视工具，如果存在漏洞，一旦遭受攻击，受影响的用户数量会很庞大。 　　CVE-2021-33177 - 批量修改工具中的身份验证后 SQL 注入。
　　CVE-2021-33178 - NagVis 报告模块中的身份验证后路径遍历漏洞。
　　CVE-2021-33179 -  核心配置管理器上的反射型跨站点脚本 (XSS)。 　　CVE-2021-33177
　　Nagios XI 5.8.5 之前的版本。
　　CVE-2021-33178
　　Nagios XI 5.8.6 之前的版本（使用NagVis 插件）。该漏洞并不存在于 Nagios XI 代码本身，但该插件是默认安装的。该漏洞存在于NagVis 插件 2.0.9 之前的版本中，该组件可以独立升级到 2.0.9 或更高版本，或者在不需要时卸载。
　　CVE-2021-33179
　　Nagios XI 5.8.4 之前的版本。 　　CVE-2021-33177
　　有权访问批量修改工具的经过身份验证的用户（例如 admin）可以将任意 SQL 注入 UPDATE 语句。在默认配置中，这允许执行任意 PostgreSQL 函数。
　　CVSS 3.1 评分： 5.2 （中等）
　　CVSS 3.1 vector:  CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N/E:P/RL:O/RC:C
　　CVE-2021-33178
　　有权访问 NagVis ManageBackgrounds 端点的经过身份验证的用户（例如 admin）可以删除服务器上受 Apache 服务器有效用户权限限制的任意文件。
CVSS 3.1 评分： 4.5（中等）
CVSS 3.1 vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C
CVE-2021-33179

• 新思科技网络安全研究中心(CyRC)研究人员Scott Tolley利用Seeker交互式应用安全测试(IAST)工具发现以上漏洞。
• 新思科技对Nagios 团队的积极响应和及时解决这些漏洞的能力表示认可。

• 2021年5月12日：首次披露该漏洞
• 2021年6月4日：Nagios安全团队验证并确认漏洞
• 2021年7月15日：Nagios XI  5.8.5 发布，修复了 CVE-2021-33177漏洞
• 2021年10月13日：新思科技发布漏洞报告

• 2021年5月12日：首次披露该漏洞
• 2021年6月4日：Nagios安全团队验证并确认漏洞
• 2021年9月2日：NagVis 插件 2.0.9 发布，修复了 CVE-2021-33178漏洞
• 2021年10月13日：新思科技发布漏洞报告

• 2021年5月12日：首次披露该漏洞
• 2021年6月4日：Nagios安全团队验证并确认漏洞
• 2021年6月10日：Nagios XI 5.8.4 发布，修复了 CVE-2021-33179漏洞
• 2021年10月13日：新思科技发布漏洞报告