zabbix zabbix 跨站请求伪造（csrf）

admin

0
文章

0
评论

2023-12-01 15:58:43 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 zabbix zabbix 跨站请求伪造（csrf）

CVE编号

CVE-2021-27927

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-03-04

漏洞描述

In Zabbix before 4.0.28rc1, 5.x before 5.0.8rc1, 5.1.x and 5.2.x before 5.2.4rc1, and 5.3.x and 5.4.x before 5.4.0alpha1, the CControllerAuthenticationUpdate controller lacks a CSRF protection mechanism. The code inside this controller calls diableSIDValidation inside the init() method.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://lists.debian.org/debian-lts-announce/2023/04/msg00013.html
https://support.zabbix.com/browse/ZBX-18942

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	zabbix	zabbix	*		Up to (excluding) 4.0.28
	运行在以下环境
	应用	zabbix	zabbix	*	From (including) 5.0.0	Up to (excluding) 5.0.8
	运行在以下环境
	应用	zabbix	zabbix	*	From (including) 5.1.0	Up to (excluding) 5.2.4
	运行在以下环境
	系统	alpine_3.12	zabbix	*		Up to (excluding) 5.0.9-r0
	运行在以下环境
	系统	alpine_3.13	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.14	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.15	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.16	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.17	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_3.18	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	alpine_edge	zabbix	*		Up to (excluding) 5.2.6-r0
	运行在以下环境
	系统	debian_10	zabbix	*		Up to (excluding) 1:4.0.4+dfsg-1+deb10u1
	运行在以下环境
	系统	debian_11	zabbix	*		Up to (excluding) 1:5.0.8+dfsg-1
	运行在以下环境
	系统	debian_12	zabbix	*		Up to (excluding) 1:5.0.8+dfsg-1
	运行在以下环境
	系统	debian_9	zabbix	*		Up to (including) 3.0.31+dfsg-0+deb9u1
	运行在以下环境
	系统	debian_sid	zabbix	*		Up to (excluding) 1:5.0.8+dfsg-1
	运行在以下环境
	系统	fedora_EPEL_7	zabbix40	*		Up to (excluding) 4.0.29-1.el7
	运行在以下环境
	系统	fedora_EPEL_8	zabbix40-agent-debuginfo	*		Up to (excluding) 4.0.29-1.el8
	运行在以下环境
	系统	opensuse_Leap_15.3	zabbix-server-postgresql	*		Up to (excluding) 4.0.37-lp153.2.3.1
	运行在以下环境
	系统	suse_12_SP5	zabbix-agent	*		Up to (excluding) 4.0.12-4.12.1