Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-00876

Опубликовано: 13 янв. 2022
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Критический

Описание

Уязвимость конфигурации setup.php универсальной системы мониторинга Zabbix связана с ошибками авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить параметры конфигурации

Вендор

Сообщество свободного программного обеспечения
Fedora Project
Novell Inc.
ООО «РусБИТех-Астра»
Zabbix LLC.
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Fedora
OpenSUSE Leap
Astra Linux Special Edition
Zabbix
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
34 (Fedora)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
35 (Fedora)
1.7 (Astra Linux Special Edition)
от 5.4.0 до 5.4.8 включительно (Zabbix)
6.0.0alpha1 (Zabbix)
6.0.0alpha2 (Zabbix)
6.0.0alpha3 (Zabbix)
6.0.0alpha4 (Zabbix)
6.0.0alpha5 (Zabbix)
6.0.0alpha6 (Zabbix)
6.0.0alpha7 (Zabbix)
6.0.0beta1 (Zabbix)
4.7 (Astra Linux Special Edition)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 34
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://support.zabbix.com/browse/ZBX-20384
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-23134
Для Fedora:
https://lists.fedoraproject.org/archives/search?mlist=package-announce%40lists.fedoraproject.org&q=CVE-2022-23134
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-23134
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для ОС ОН «Стрелец»:
Обновление программного обеспечения zabbix до версии 1:3.0.32+dfsg-0+deb9u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.93096
Критический

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23134

CVSS3: 3.7
ubuntu
около 4 лет назад

After the initial setup process, some steps of setup.php file are reachable not only by super-administrators, but by unauthenticated users as well. Malicious actor can pass step checks and potentially change the configuration of Zabbix Frontend.

nvd логотип

CVE-2022-23134

CVSS3: 3.7
nvd
около 4 лет назад

After the initial setup process, some steps of setup.php file are reachable not only by super-administrators, but by unauthenticated users as well. Malicious actor can pass step checks and potentially change the configuration of Zabbix Frontend.

debian логотип

CVE-2022-23134

CVSS3: 3.7
debian
около 4 лет назад

After the initial setup process, some steps of setup.php file are reac ...

github логотип

GHSA-mv97-qj5h-25f3

CVSS3: 5.3
github
почти 4 года назад

After the initial setup process, some steps of setup.php file are reachable not only by super-administrators, but by unauthenticated users as well. Malicious actor can pass step checks and potentially change the configuration of Zabbix Frontend.

suse-cvrf логотип

openSUSE-SU-2022:0036-1

suse-cvrf
почти 4 года назад

Security update for zabbix

EPSS

Процентиль: 100%
0.93096
Критический

5.3 Medium

CVSS3

5 Medium

CVSS2