Zabbix 新增两个漏洞!CISA 已知被利用漏洞列表中,新增两个 Zabbix 漏洞
2022-3-1 09:40:0 Author: mp.weixin.qq.com(查看原文) 阅读量:23 收藏

文章来源:FreeBuf.COM

CISA 命令所有联邦民事行政部门机构 (FCEB) 在2022 年 3 月 8 日之前,解决这两个Zabbix 漏洞。

Security Affairs 资讯网站披露,美国网络安全基础设施和安全局(CISA) 在其已知被利用漏洞目录中,新增了两个 Zabbix 漏洞。据悉,漏洞会影响 Zabbix 基础设施监控工具。

漏洞详情如下表:

根据具有约束力的操作指令(BOD) 22-01要求:为了降低已知被利用漏洞的重大风险 ,FCEB 机构必须在截止日期前(3.8),解决已经被利用的漏洞,以避免网络攻击。另外,网络安全专家建议各组织尽快审查,并积极解决其基础设施中的漏洞。

值得一提的是,CISA 命令所有联邦民事行政部门机构 (FCEB) 在2022 年 3 月 8 日之前,解决这两个Zabbix 漏洞。

漏洞分析

第一个漏洞:跟踪为 CVE-2022-23131 (CVSS 评分:9.8),攻击者可以通过配置 SAML 的 Zabbix 前端实现身份验证绕过、接管。

第二个漏洞:跟踪为 CVE-2022-23134 (CVSS 评分:5.3),攻击者可以利用它顺利通过步骤检查并可能更改 Zabbix 前端的配置。

这两个漏洞是由 SonarSource 研究员 Thomas Chauchefoin 披露,受影响的Zabbix Web 版本主要包括:5.4.8、5.0.18 和 4.0.36。

Zabbix 漏洞时间表:

精彩推荐

多一个点在看

多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650534418&idx=1&sn=8fd7746c48e916e42abb43d887260678&chksm=83ba97f6b4cd1ee05f311a4c55b202f7f2bec46889709dc967def3568a85b497b4b6e96a49a5#rd
如有侵权请联系:admin#unsafe.sh