一、漏洞详情
Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的监控解决方案,可以用来监控服务器、硬件、网络等。
近日,监测到Zabbix中修复了一个会话cookie泄露漏洞(CVE-2023-32725)。Zabbix中在测试或执行计划报告时,URL widget中配置的网站会收到会话cookie,接收的会话cookie可用于以特定用户身份访问前端。由于对依赖的Cookie缺乏验证和完整性检查,在使用带有URL widget的仪表板的计划报告时,会话cookie可能会泄露给网站持有者和威胁者,威胁者可使用cookie冒充创建报告的Zabbix用户,并在Zabbix前端中以该用户的权限向自己授权,可能造成会话劫持和权限提升。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Zabbix 版本6.0.0 - 6.0.21
Zabbix 版本6.4.0 - 6.4.6
Zabbix 版本7.0.0alpha1 - 7.0.0alpha3
三、修复建议
目前这些漏洞已经修复,受影响用户可升级到以下版本:
Zabbix 版本6.0.0 - 6.0.21:升级到6.0.22rc1或更高版本
Zabbix 版本6.4.0 - 6.4.6:升级到6.4.7rc1或更高版本
Zabbix 版本7.0.0alpha1 - 7.0.0alpha3:升级到7.0.0alpha4或更高版本