Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-06077

Опубликовано: 08 июл. 2022
Источник: fstec
CVSS3: 4.8
CVSS2: 5.6
EPSS Низкий

Описание

Уязвимость универсальной системы мониторинга Zabbix Frontend связана с непринятием мер по защите структуры веб-страницы при обработке параметра backurl. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки с помощью специально созданной вредоносной ссылки

Вендор

ООО «РусБИТех-Астра»
Fedora Project
Zabbix LLC.

Наименование ПО

Astra Linux Special Edition
Fedora
Zabbix Frontend

Версия ПО

1.7 (Astra Linux Special Edition)
37 (Fedora)
от 6.0.0 до 6.0.7rc1 (Zabbix Frontend)
от 6.2.0 до 6.2.1rc1 (Zabbix Frontend)
4.7 (Astra Linux Special Edition)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Fedora Project Fedora 37
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Zabbix Frontend:
https://support.zabbix.com/browse/ZBX-21350
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SPU4RCRYVNVM3SS523UQXE63ATCTEX5G/
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.01866
Низкий

4.8 Medium

CVSS3

5.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-40626

CVSS3: 4.8
ubuntu
больше 3 лет назад

An unauthenticated user can create a link with reflected Javascript code inside the backurl parameter and send it to other authenticated users in order to create a fake account with predefined login, password and role in Zabbix Frontend.

nvd логотип

CVE-2022-40626

CVSS3: 4.8
nvd
больше 3 лет назад

An unauthenticated user can create a link with reflected Javascript code inside the backurl parameter and send it to other authenticated users in order to create a fake account with predefined login, password and role in Zabbix Frontend.

debian логотип

CVE-2022-40626

CVSS3: 4.8
debian
больше 3 лет назад

An unauthenticated user can create a link with reflected Javascript co ...

github логотип

GHSA-3g95-xf53-275x

CVSS3: 6.1
github
больше 3 лет назад

An unauthenticated user can create a link with reflected Javascript code inside the backurl parameter and send it to other authenticated users in order to create a fake account with predefined login, password and role in Zabbix Frontend.

EPSS

Процентиль: 83%
0.01866
Низкий

4.8 Medium

CVSS3

5.6 Medium

CVSS2