Каталог уязвимостей Сканер-ВС

Вернуться к списку

CVE-2022-23131

Оценки

Оценка EPSS

0.9434

CVSS

3.x 9.8

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Все оценки CVSS

CVSS 4.0
0.0
CVSS 3.x
9.8

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0
5.1

Вектор: AV:N/AC:H/Au:N/C:P/I:P/A:P

Описание

В случае, когда включена аутентификация SAML SSO (не по умолчанию), данные сеанса могут быть изменены злоумышленником, поскольку пользовательский логин, хранящийся в сеансе, не был проверен. Вредоносный неаутентифицированный актер может использовать этот вопрос для эскалации привилегий и получения доступа администратора к Zabbix Frontend. Для выполнения атаки требуется аутентификация SAML, а актер должен знать имя пользователя Zabbix (или использовать гостевую учетную запись, которая отключена по умолчанию).

Источники

debiannvdubuntu

CWE

CWE-290

Связанные уязвимости

BDU:2022-00884

Эксплойты

ID эксплойта: CVE-2022-23131

Источник: github-poc

URL: https://github.com/davidzzo23/CVE-2022-23131

Справочные ссылки

https://support.zabbix.com/browse/ZBX-20350
https://www.cve.org/CVERecord?id=CVE-2022-23131
https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Уязвимое ПО

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu bionic 18.04

Характеристика: 
{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu focal 20.04

Характеристика: 
{
  "unaffected": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu hirsute 21.04

Характеристика: 
{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu impish 21.10

Характеристика: 
{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu jammy 22.04

Характеристика: 
{
  "unaffected": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu kinetic 22.10

Характеристика: 
{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu lunar 23.04

Характеристика: 
{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu trusty 14.04

Характеристика: 
{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: ubuntu xenial 16.04

Характеристика: 
{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: zabbix

Операционная система: debian

Характеристика: 
{
  "unaffected": true
}

Источник: debian

Тип: Конфигурация

Поставщик: zabbix

Продукт: zabbix

Операционная система: * * *

Характеристика: 
{
  "cpe_match": [
    {
      "cpe23uri": "cpe:2.3:a:zabbix:zabbix:*:*:*:*:*:*:*:*",
      "versionEndIncluding": "5.4.8",
      "versionStartIncluding": "5.4.0",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:zabbix:zabbix:6.0.0:alpha1:*:*:*:*:*:*",
      "vulnerable": true
    }
  ],
  "operator": "OR"
}

Источник: nvd