Af Eskil Sørensen, 02/12/24
CVSS-score på 9,9.
Der er fundet en kritisk sårbarhed i Zabbix Front-End. Det skriver The Register.
Sårbarheden skyldes, at en brugerkonto uden administrative rettigheder på Zabbix-frontenden kan få adgang til det tilhørende API, og dermed udnytte sårbarheden.
Sårbarheden findes i CUser-klassen i addRelatedObjects-funktionen, som kaldes fra CUser.get-funktionen, der er tilgængelig for alle brugere, som har API-adgang.
- Versioner fra 6.0.0 til og med 6.0.31
- Versioner fra 6.4.0 til og med 6.4.16
- Versioner fra 7.0.0 til og med 7.0.1
Der er endnu ingen rapporter om aktiv udnyttelse.
Det anbefales at opdatere sårbare systemer.
Links:
https://www.theregister.com/2024/11/29/zabbix_urges_upgrades_after_critical/