Internal Research

**Nome do software vulnerável e versões afetadas** Zabbix Frontend (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de medidas de proteção na estrutura da página web ao lidar com o parâmetro `backurl` no Zabbix Frontend. Isso pode ser explorado por um usuário não autenticado para criar um link com código JavaScript refletido dentro do parâmetro `backurl` e enviá-lo a outros usuários autenticados. O objetivo é criar uma conta falsa com login, senha e função predefinidos. A exploração pode levar a ataques de cross-site scripting usando um link malicioso especialmente criado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zabbix Frontend (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um usuário autenticado crie um link contendo código JavaScript refletido para a página de gráficos e o envie a outros usuários. A carga útil só pode ser executada com um valor de token CSRF conhecido da vítima, que é alterado periodicamente e é difícil de prever. O código malicioso tem acesso a todos os mesmos objetos que o restante da página da web e pode fazer modificações arbitrárias no conteúdo da página exibida à vítima durante ataques de engenharia social. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zabbix (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de proteção da estrutura da página web no Zabbix. Um usuário autenticado pode criar um link com código JavaScript refletido para a página de itens e enviá-lo a outros usuários. A carga útil só pode ser executada com um valor conhecido do token CSRF da vítima, que é alterado periodicamente e é difícil de prever. O código malicioso tem acesso a todos os mesmos objetos que o restante da página da web e pode fazer modificações arbitrárias no conteúdo da página exibida à vítima durante ataques de engenharia social. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zabbix (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de proteção da estrutura da página web no Zabbix, permitindo que um usuário autenticado crie um link com uma carga de XSS refletida para páginas de ações e o envie a outros usuários. O código malicioso pode acessar todos os mesmos objetos que o restante da página da web e fazer modificações arbitrárias no conteúdo da página exibida à vítima. Esse ataque pode ser implementado com o auxílio de engenharia social e requer que o invasor tenha acesso autorizado ao Zabbix Frontend, conexão de rede permitida entre um servidor malicioso e o computador da vítima, compreenda a infraestrutura atacada, seja reconhecido pela vítima como uma pessoa de confiança e utilize um canal de comunicação confiável. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zabbix (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de proteção da estrutura da página web no Zabbix. Um usuário autenticado pode criar um link contendo código JavaScript refletido para a página de serviços e enviá-lo a outros usuários. A carga útil só pode ser executada com um valor conhecido do token CSRF da vítima, que é alterado periodicamente e é difícil de prever. O código malicioso tem acesso a todos os mesmos objetos que o restante da página da web e pode fazer modificações arbitrárias no conteúdo da página exibida à vítima durante ataques de engenharia social. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zabbix (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de proteção da estrutura da página web no Zabbix, permitindo que um usuário autenticado crie um link com código JavaScript refletido para a página de gráficos e o envie a outros usuários. A carga útil só pode ser executada com um valor conhecido do token CSRF da vítima, que é alterado periodicamente e é difícil de prever. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zabbix (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de proteção da estrutura da página web no Zabbix, um sistema de monitoramento universal. Um usuário autenticado pode criar um link contendo código JavaScript refletido para a página de descoberta e enviá-lo a outros usuários. A carga útil só pode ser executada com um valor de token CSRF conhecido da vítima, que é alterado periodicamente e é difícil de prever. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.