PT-2022-6478 · Zabbix+2 · Zabbix+2
Alexander Vladishev
+1
·
Publicado
2022-02-02
·
Atualizado
2024-10-03
·
CVE-2022-24349
CVSS v3.1
4.6
Média
| Vetor | AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Zabbix (versões afetadas não especificadas)
Descrição
O problema está relacionado à falta de proteção da estrutura da página web no Zabbix, permitindo que um usuário autenticado crie um link com uma carga de XSS refletida para páginas de ações e o envie a outros usuários. O código malicioso pode acessar todos os mesmos objetos que o restante da página da web e fazer modificações arbitrárias no conteúdo da página exibida à vítima. Esse ataque pode ser implementado com o auxílio de engenharia social e requer que o invasor tenha acesso autorizado ao Zabbix Frontend, conexão de rede permitida entre um servidor malicioso e o computador da vítima, compreenda a infraestrutura atacada, seja reconhecido pela vítima como uma pessoa de confiança e utilize um canal de comunicação confiável.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Suse
Zabbix