Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La inyección a ciegas basada en tiempo está presente en el campo "clientip que podría permitir a un atacante escalar privilegios de "user" a "admin" y el algunos casos conducir a la ejecución remota de comandos.
Recursos afectados
Zabbix server:
- 6.0.0 - 6.0.27
- 6.4.0 - 6.4.12
- 7.0.0alpha1 - 7.0.0beta1
Solución
Actualizar según la versión del producto afectado
- 6.0.28rc1
- 6.4.13rc1
- 7.0.0beta2
Prueba de concepto
Es importante actualizar inmediatamente, puesto que se tienen pruebas de concepto públicas 3 variaciones
Recomendaciones
- Implementar medidas de seguridad adicionales, como los firewalls de aplicaciones web (WAF) y los sistemas de detección de intrusiones (IDS)
- Restringir el acceso al servidor Zabbix y audite los registros solo a usuarios y redes confiables.