Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-09066

Опубликовано: 18 дек. 2023
Источник: fstec
CVSS3: 9.6
CVSS2: 10
EPSS Низкий

Описание

Уязвимость файла cookie zbx_session универсальной системы мониторинга Zabbix связана с некорректной обработкой префиксов безопасности в именах файлов cookie. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Zabbix LLC.

Наименование ПО

РЕД ОС
Astra Linux Special Edition
АЛЬТ СП 10
Zabbix

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
- (АЛЬТ СП 10)
7.0.0 alpha1 (Zabbix)
7.0.0 alpha2 (Zabbix)
7.0.0 alpha3 (Zabbix)
от 6.0.0 до 6.0.21 включительно (Zabbix)
от 6.4.0 до 6.4.6 включительно (Zabbix)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- настройка только доверенных URL-адресов в виджете URL-адресов;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://support.zabbix.com/browse/ZBX-23854
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет zabbix до 1:6.0.29+dfsg-1+ci202405271621+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет zabbix до 1:6.0.29+dfsg-1+ci202405271621+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.00204
Низкий

9.6 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20240328-05

CVSS3: 9.8
redos
около 1 года назад

Множественные уязвимости zabbix

ubuntu логотип

CVE-2023-32725

CVSS3: 9.6
ubuntu
больше 1 года назад

The website configured in the URL widget will receive a session cookie when testing or executing scheduled reports. The received session cookie can then be used to access the frontend as the particular user.

nvd логотип

CVE-2023-32725

CVSS3: 9.6
nvd
больше 1 года назад

The website configured in the URL widget will receive a session cookie when testing or executing scheduled reports. The received session cookie can then be used to access the frontend as the particular user.

debian логотип

CVE-2023-32725

CVSS3: 9.6
debian
больше 1 года назад

The website configured in the URL widget will receive a session cookie ...

EPSS

Процентиль: 43%
0.00204
Низкий

9.6 Critical

CVSS3

10 Critical

CVSS2