Se han detectado dos vulnerabilidades (CVE-2022-23131 y CVE-2022-23134) en Zabbix Web Frontend, que permitirían a un atacante evadir los sistemas de autenticación y obtener privilegios de administrador con el objetivo de poder realizar ejecución remota de código (RCE).
Estas vulnerabilidades se explican a continuación:
- La vulnerabilidad identificada como CVE-2022-23131 de severidad critica, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a un error en la verificación de los datos de la sesión del usuario, lo cual permitiría a un atacante autenticado modificarlos logrando realizar escalamiento de privilegios, con el objetivo de realizar ejecución remota de código (RCE).Para realizar el ataque, se requiere que la autenticación SAML esté habilitada y el atacante debe conocer el nombre del usuario de Zabbix (o usar la cuenta de invitado, que está deshabilitada de forma predeterminada).
- La vulnerabilidad identificada como CVE-2022-23134 de severidad media, con una puntuación asignada de 5.3. Esta vulnerabilidad se debe a un error en los permisos de la configuración inicial del Zabbix Web Frontend, que permitiría el acceso de usuarios sin privilegios, a configuraciones críticas logrando así,. evadir controles de seguridad y realizar cambios en la configuración del Zabbix Web Frontend.
Las versiones afectadas son:
- Zabbix Frontend 6.0.0alpha1, 5.4.0 hasta 5.4.8.
- Zabbix Frontend 6.0.0 hasta 6.0.0beta1, 5.4.0 hasta 5.4.8
Recomendamos instalar las actualizaciones proveídas por Zabbix, por medio de la siguiente guía:
Referencias:
- BOL-CERT-PY-2022-10 Múltiples vulnerabilidades detectadas en Zabbix Web Frontend
- https://www.zabbix.com/security_advisories
- https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage
- https://nvd.nist.gov/vuln/detail/CVE-2022-23134
- https://nvd.nist.gov/vuln/detail/CVE-2022-23131
- https://www.suse.com/security/cve/CVE-2022-23134.html