Zabbix 3.2.x< 3.2.7の複数の脆弱性
critical Nessus プラグイン ID 102495
Language:
概要
リモートホストで実行されている Web アプリケーションは、複数の脆弱性の影響を受けます。説明
自己報告されたバージョン番号によると、リモートホストで実行中のZabbixのインスタンスは、3.2.7より前の3.2.xです。したがって、以下の複数の脆弱性による影響を受けます。- 折り返し型クロスサイトスクリプティング(XSS)攻撃を可能にする欠陥があります。この欠陥は、actionconf.phpスクリプトが「タブ」パラメーターへの入力をユーザーに返す前に検証しないためにあります。これにより、コンテキスト依存の攻撃者が、特別に細工されたリクエストを作成して、自分のブラウザーとサーバー間の信頼関係において、ユーザーのブラウザーセッションで任意のスクリプトコードを実行する可能性があります。
- 詳細不明な欠陥があり、リモートの攻撃者がサーバーで任意のコマンドを実行する可能性があります。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Zabbixバージョン3.2.7以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 102495
ファイル名: zabbix_frontend_3_2_7.nasl
バージョン: 1.9
タイプ: remote
ファミリー: CGI abuses
公開日: 2017/8/15
更新日: 2025/5/14
サポートされているセンサー: Nessus
Enable CGI Scanning: true
脆弱性情報
CPE: cpe:/a:zabbix:zabbix
必要な KB アイテム: installed_sw/zabbix
パッチ公開日: 2017/7/18
脆弱性公開日: 2017/7/18