PT-2021-7720 · Zabbix+2 · Zabbix+2
Hazem Osama
·
Publicado
2021-12-08
·
Atualizado
2024-10-03
·
CVE-2022-23133
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Zabbix (versões afetadas não especificadas)
Descrição
O problema está relacionado à falta de proteção da estrutura da página web no Zabbix, permitindo que um invasor remoto comprometa a integridade dos dados. Um usuário autenticado pode criar um grupo de hosts a partir da configuração com uma carga XSS, que ficará disponível para outros usuários. Quando o XSS é armazenado por um agente mal-intencionado autenticado e outros usuários tentam pesquisar grupos durante a criação de um novo host, a carga XSS será acionada, e o agente poderá roubar cookies de sessão e realizar sequestro de sessão para se passar por usuários ou assumir o controle de suas contas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Zabbix