阿里云漏洞库

漏洞描述

In Zabbix before 4.0.28rc1, 5.x before 5.0.8rc1, 5.1.x and 5.2.x before 5.2.4rc1, and 5.3.x and 5.4.x before 5.4.0alpha1, the CControllerAuthenticationUpdate controller lacks a CSRF protection mechanism. The code inside this controller calls diableSIDValidation inside the init() method.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://lists.debian.org/debian-lts-announce/2023/04/msg00013.html
https://support.zabbix.com/browse/ZBX-18942

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	zabbix	zabbix	*		Up to (excluding) 4.0.28
	运行在以下环境
	应用	zabbix	zabbix	*	From (including) 5.0.0	Up to (excluding) 5.0.8
	运行在以下环境
	应用	zabbix	zabbix	*	From (including) 5.1.0	Up to (excluding) 5.2.4
	运行在以下环境
	系统	alpine_3.12	zabbix	*		Up to (excluding) 5.0.9-r0
	运行在以下环境
	系统	alpine_3.13	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.14	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.15	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.16	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.17	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.18	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.19	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	debian_10	zabbix	*		Up to (excluding) 4.0.4+dfsg-1+deb10u1
	运行在以下环境
	系统	debian_11	zabbix	*		Up to (excluding) 5.0.8+dfsg-1
	运行在以下环境
	系统	debian_12	zabbix	*		Up to (excluding) 5.0.8+dfsg-1
	运行在以下环境
	系统	fedora_EPEL_7	zabbix40	*		Up to (excluding) 4.0.29-1.el7
	运行在以下环境
	系统	fedora_EPEL_8	zabbix40	*		Up to (excluding) 4.0.29-1.el8
	运行在以下环境
	系统	opensuse_Leap_15.3	zabbix-proxy	*		Up to (excluding) 4.0.37-lp153.2.3.1
	运行在以下环境
	系统	suse_12_SP5	zabbix-agent	*		Up to (excluding) 4.0.12-4.12.1

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

N/A
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-352	跨站请求伪造（CSRF）

中危 zabbix zabbix 跨站请求伪造（csrf）

漏洞描述

解决建议

参考链接

受影响软件情况