Fecha de publicación: Lun, 20/05/2024 - 10:53

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

La inyección a ciegas basada en tiempo está presente en el campo "clientip que podría permitir a un atacante escalar privilegios de "user" a "admin" y el algunos casos conducir a la ejecución remota de comandos.

Recursos afectados 

Zabbix server:

  • 6.0.0 - 6.0.27
  • 6.4.0 - 6.4.12
  • 7.0.0alpha1 - 7.0.0beta1

Solución

Actualizar según la versión del producto afectado

  • 6.0.28rc1
  • 6.4.13rc1
  • 7.0.0beta2

Prueba de concepto

Es importante actualizar inmediatamente, puesto que se tienen pruebas de concepto públicas 3 variaciones

Recomendaciones

  • Implementar medidas de seguridad adicionales, como los firewalls de aplicaciones web (WAF) y los sistemas de detección de intrusiones (IDS)
  • Restringir el acceso al servidor Zabbix y audite los registros solo a usuarios y redes confiables.

Referencias

Zabbix Security Advisories and CVE database

Zabbix bugs and issues