Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05377

Опубликовано: 09 мар. 2022
Источник: fstec
CVSS3: 4.4
CVSS2: 3.6
EPSS Низкий

Описание

Уязвимость универсальной системы мониторинга Zabbix Frontend существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность защищаемой информации с помощью специально созданной ссылки

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
Zabbix LLC.
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
Suse Linux Enterprise Server
SUSE Linux Enterprise Server for SAP Applications
Astra Linux Special Edition для «Эльбрус»
Fedora
Zabbix Frontend
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
34 (Fedora)
35 (Fedora)
1.7 (Astra Linux Special Edition)
36 (Fedora)
6.0 (Zabbix Frontend)
от 4.0.0 до 4.0.38 включительно (Zabbix Frontend)
от 5.0.0 до 5.0.20 включительно (Zabbix Frontend)
от 5.4.0 до 5.4.10 включительно (Zabbix Frontend)
4.7 (Astra Linux Special Edition)
до 2.8 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 34
Fedora Project Fedora 35
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Fedora Project Fedora 36
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Zabbix Frontend:
https://support.zabbix.com/browse/ZBX-20680
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-24919.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2V4N22R3QVTYAJMWFK2U2O6QXAZYM35Z/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QWP6UBFA5T6MOQPY2VDUG5YAJBFPYRFF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SWDZONUHDYKBXTAIAGHSYQDEGORD2QT7/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/04/msg00011.html
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения zabbix до версии 1:4.0.4+dfsg-1+deb10u1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения zabbix до версии 1:3.0.32+dfsg-0+deb9u3
Для Astra Linux 1.6 «Смоленск»:
обновить пакет zabbix до 1:4.0.4+dfsg-1+deb10u2+ci202309281655+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Для ОС Astra Linux:
обновить пакет zabbix до 1:4.0.4+dfsg-1+deb10u2+ci202309281655+astra5 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20241206SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00369
Низкий

4.4 Medium

CVSS3

3.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-24919

CVSS3: 3.7
ubuntu
почти 4 года назад

An authenticated user can create a link with reflected Javascript code inside it for graphs’ page and send it to other users. The payload can be executed only with a known CSRF token value of the victim, which is changed periodically and is difficult to predict. Malicious code has access to all the same objects as the rest of the web page and can make arbitrary modifications to the contents of the page being displayed to a victim during social engineering attacks.

nvd логотип

CVE-2022-24919

CVSS3: 3.7
nvd
почти 4 года назад

An authenticated user can create a link with reflected Javascript code inside it for graphs’ page and send it to other users. The payload can be executed only with a known CSRF token value of the victim, which is changed periodically and is difficult to predict. Malicious code has access to all the same objects as the rest of the web page and can make arbitrary modifications to the contents of the page being displayed to a victim during social engineering attacks.

debian логотип

CVE-2022-24919

CVSS3: 3.7
debian
почти 4 года назад

An authenticated user can create a link with reflected Javascript code ...

github логотип

GHSA-cf7c-p4p5-gq5x

CVSS3: 4.4
github
почти 4 года назад

An authenticated user can create a link with reflected Javascript code inside it for graphs’ page and send it to other users. The payload can be executed only with a known CSRF token value of the victim, which is changed periodically and is difficult to predict. Malicious code has access to all the same objects as the rest of the web page and can make arbitrary modifications to the contents of the page being displayed to a victim during social engineering attacks.

suse-cvrf логотип

SUSE-SU-2022:1254-1

suse-cvrf
почти 4 года назад

Security update for zabbix

EPSS

Процентиль: 58%
0.00369
Низкий

4.4 Medium

CVSS3

3.6 Low

CVSS2