CISA 已知被利用漏洞列表中,新增两个 Zabbix 漏洞

安全 漏洞
CISA 命令所有联邦民事行政部门机构 (FCEB) 在2022 年 3 月 8 日之前,解决这两个Zabbix 漏洞。

Security Affairs 资讯网站披露,美国网络安全基础设施和安全局(CISA) 在其已知被利用漏洞目录中,新增了两个 Zabbix 漏洞。据悉,漏洞会影响 Zabbix 基础设施监控工具。

漏洞详情如下表:

根据具有约束力的操作指令(BOD) 22-01要求:为了降低已知被利用漏洞的重大风险 ,FCEB 机构必须在截止日期前(3.8),解决已经被利用的漏洞,以避免网络攻击。另外,网络安全专家建议各组织尽快审查,并积极解决其基础设施中的漏洞。

值得一提的是,CISA 命令所有联邦民事行政部门机构 (FCEB) 在2022 年 3 月 8 日之前,解决这两个Zabbix 漏洞。

漏洞分析

  • 第一个漏洞:跟踪为 CVE-2022-23131 (CVSS 评分:9.8),攻击者可以通过配置 SAML 的 Zabbix 前端实现身份验证绕过、接管。
  • 第二个漏洞:跟踪为 CVE-2022-23134 (CVSS 评分:5.3),攻击者可以利用它顺利通过步骤检查并可能更改 Zabbix 前端的配置。

这两个漏洞是由 SonarSource 研究员 Thomas Chauchefoin 披露,受影响的Zabbix Web 版本主要包括: 5.4.8、5.0.18 和 4.0.36。

Zabbix 漏洞时间表:

参考文章:

https://securityaffairs.co/wordpress/128374/hacking/cisa-zabbix-flaws.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-01-25 10:22:26

漏洞网络攻击

2023-11-14 22:16:36

2022-04-26 16:56:44

CISA漏洞攻击

2022-08-11 19:24:49

漏洞网络攻击

2022-08-10 18:18:20

网络安全漏洞CISA

2021-11-04 09:07:15

漏洞CISA网络攻击

2022-03-08 18:07:59

漏洞CISA

2021-11-05 15:18:22

漏洞网络安全网络攻击

2023-04-12 00:05:53

2023-05-17 18:47:45

2017-06-15 17:28:36

2020-05-13 15:00:25

漏洞网络安全网络攻击

2024-02-01 13:24:00

2017-06-14 10:02:22

2012-01-18 11:02:37

Tomcat

2024-01-05 11:44:13

2021-04-08 09:31:45

FacebookFacebook fo漏洞

2009-03-15 09:52:20

2022-04-20 14:54:35

漏洞网络攻击Windows

2021-11-09 06:34:32

CISA漏洞补丁
点赞
收藏

51CTO技术栈公众号