美国网络安全和基础设施安全局 (CISA) 在其已知已利用漏洞目录中添加了两个新的 Zabbix 漏洞(CVE-2022-23131 和 CVE-2022-23134)。据报道,该漏洞会影响 Zabbix 基础设施监控工具。
漏洞详情如下:
- CVE-2022-23131 – 不安全的客户端会话存储导致通过配置了 SAML 的 Zabbix 前端进行身份验证绕过/实例接管
- 受影响的版本:5.4.0 – 5.4.8;6.0.0alpha1
- CVE-2022-23134 – 如果配置文件已存在,则未经身份验证的用户可能查看设置页面
- 受影响的版本:5.4.0 – 5.4.8;6.0.0 – 6.0.0beta1
根据具有 约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,为降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期前解决已识别的漏洞。此外,网络安全专家建议组织尽快审查并主动解决其基础设施中的漏洞。值得注意的是,CISA 下令所有联邦民事行政部门机构 (FCEB) 机构在 2022 年 3 月 8 日之前解决这两个 Zabbix 漏洞。
这两个漏洞是由 SonarSource 研究员 Thomas Chauchefoin 披露的,受影响的 Zabbix Web 版本主要包括 5.4.8、5.0.18 和 4.0.36。Zabbix Certified Expert & Trainer Arturs Lontons 在博客中写道:“我们敦促大家谁在您的环境中使用 SAML SSO 身份验证功能,或将您的 Zabbix 实例更新到上述已解决安全漏洞的版本之一。”
