美国CISA在其已知利用漏洞目录中添加了两个影响Zabbix的漏洞

美国网络安全和基础设施安全局(CISA)在其已知利用漏洞目录中添加了两个影响Zabbix基础设施监控工具的新漏洞。

威胁参与者正在积极利用下表中报告的两个漏洞：

根据具有约束力的操作指令(BOD)22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。

专家还建议私人组织审查已知被利用的漏洞目录并解决基础设施中的漏洞。

CISA命令所有联邦民事行政分支机构(FCEB)在2022年3月08日之前解决Zabbix的两个安全漏洞。

第一期，追踪为CVE-2022-23131(CVSS得分:9.8)，是一种不安全的客户端会话存储，可被利用来通过Zabbix前端和配置的SAML实现身份验证旁路/实例接管。

第二个缺陷，跟踪为CVE-2022-23134(CVSS得分:5.3)，可能被威胁者利用来通过步骤检查，并可能改变Zabbix前端的配置。

这两个漏洞影响Zabbix Web前端版本，包括5.4.8、5.0.18和4.0.36，SonarSource研究员Thomas Chauchefoin报告了这两个问题。

“我们在Zabbix的客户端会话实施中发现了一个严重漏洞，可能导致整个网络受到威胁。”Chauchefoin写道。

随着5.4.9、5.0.9和4.0.37版本的发布，这些问题已经得到解决。

以下是这两个缺陷的时间表: