PT-2022-1636 · Zabbix+1 · Zabbix+1
Paalbra
·
Publicado
2021-08-20
·
Atualizado
2024-12-10
·
CVE-2021-46088
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Zabbix 4.0 LTS a 5.0 LTS
Descrição
A vulnerabilidade permite a execução remota de código (RCE) devido a erros de autorização. Qualquer usuário com a função
Zabbix Admin pode executar scripts de shell personalizados no servidor de aplicativos no contexto do usuário do aplicativo. Isso poderia permitir que um invasor executasse código arbitrário com privilégios de root.Recomendações
Para as versões 4.0 LTS, 4.2, 4.4 e 5.0 LTS do Zabbix, considere restringir a função
Zabbix Admin para minimizar o risco de exploração até que uma correção esteja disponível.Como solução alternativa temporária, considere desativar a execução de scripts de shell personalizados no servidor de aplicativos até que uma correção seja lançada.
Restrinja o acesso ao servidor de aplicativos para minimizar o risco de exploração.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Zabbix