2023年12月26日,Zabbix官方发布安全公告,披露在使用了URL widget时,其中的URL网站可能获取到Zabbix Session Cookie信息,进而可利用获取的Cookie登录进入Zabbix。请各位用户尽快安装漏洞补丁。
漏洞风险:Zabbix用户可以在URL小部件中配置任何URL。Zabbix会话cookie可能会被本网站的持有者和攻击者所知。攻击者可以使用cookie伪装成创建报告的Zabbix用户,并在Zabbix前端以该用户的权限授权自己。请注意,计划报告适用于管理员和超级管理员用户类型。
风险等级:高风险。
影响范围: zabbix frontend 6.0.0-6.0.21
应用 zabbix frontend 6.4.0-6.4.6
应用 zabbix frontend 7.0.0
应用 zabbix zabbix_server 6.0.0-6.0.21
应用 zabbix zabbix_server 6.4.0-6.4.6
应用 zabbix zabbix_server 7.0.0
修复建议:官方已发布安全更新,建议升级至最新版本。
进行安全更新方法:
在URL小部件中仅配置受信任的URL。
https://support.zabbix.com/browse/ZBX-23854
