PT-2020-6949 · Zabbix+4 · Zabbix+4

Rostislav Palivoda

·

Publicado

2016-09-16

·

Atualizado

2023-04-12

·

CVE-2020-15803

CVSS v2.0

6.4

Média

VetorAV:N/AC:L/Au:N/C:P/I:P/A:N
Nome do software vulnerável e versões afetadas
Versões do Zabbix 3.0.0 a 3.0.32rc1
Versões do Zabbix 4.0.0 a 4.0.22rc1
Versões do Zabbix 4.1.x a 4.4.x anteriores à 4.4.10rc1
Versões do Zabbix 5.x anteriores à 5.0.2rc1
Descrição
O problema está relacionado à falta de proteção da estrutura da página web no Zabbix, permitindo XSS armazenado no Widget de URL. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados.
Recomendações
Para as versões do Zabbix 3.0.0 a 3.0.32rc1, atualize para a versão 3.0.32rc1 ou posterior.
Para as versões do Zabbix 4.0.0 a 4.0.22rc1, atualize para a versão 4.0.22rc1 ou posterior.
Para as versões do Zabbix 4.1.x a 4.4.x anteriores à 4.4.10rc1, atualize para a versão 4.4.10rc1 ou posterior.
Para as versões do Zabbix 5.x anteriores à 5.0.2rc1, atualize para a versão 5.0.2rc1 ou posterior.
Como solução temporária, considere desativar o Widget de URL até que um patch esteja disponível.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2016-1977
ALT-PU-2019-1862
ALT-PU-2020-2718
ALT-PU-2020-3398
ALT-PU-2021-2156
BDU:2023-09072
CVE-2020-15803
DLA-2311-1
DLA-2631-1
DLA-3390-1
OPENSUSE-SU-2020:1604-1
OPENSUSE-SU-2020_1604-1
OPENSUSE-SU-2022:0036-1
OPENSUSE-SU-2022_0036-1
OPENSUSE-SU-2022_0058-1
OPENSUSE-SU-2024:11539-1
SUSE-SU-2020:2251-1
SUSE-SU-2020_2251-1
USN-4767-1

Produtos afetados

Alt Linux
Linuxmint
Suse
Ubuntu
Zabbix