Se han anunciado dos vulnerabilidades en Zabbix que podrían permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.
Zabbix es un sistema open source de monitorización redes, disponible para múltiples plataformas, que permite monitorizar el rendimiento, disponibilidad e integridad de los equipos y servicios que se están ejecutando en ellos. Entre sus características se encuentran la posibilidad de monitorización de forma remota a través de un interfaz web con soporte para los métodos GET y POST, y el envío de alertas vía email, teléfono móvil, SMS, alertas acústicas, etc.
Se han detectado dos vulnerabilidades que afectan a Zabbix, debido a la falta de comprobación de determinados parámetros de entrada, que podrían conducir a ataques Cross-Site Scripting (XSS).
Las vulnerabilidades son las siguientes:
-
falta de comprobación al utilizar el parámetro de entrada que se pasa a los nombres de grupos de hosts en «hostgroups.php«. Para aprovechar esta vulnerabilidad es necesario disponer de permisos de acceso para modificar los nombres de los grupos de hosts.
-
falta de comprobación de la variable «gname» al crear grupos de usuarios en «usergrps.php«.
Ninguna de las vulnerabilidades anteriores tiene asignado CVE.
La versión 1.8.10RC1 de Zabbix corrige las vulnerabilidades expuestas anteriormente.
Más información:
Zabbix releases notes
Persistent Cross Site Scripting Vulnerabilities (ZBX-4015)
Juan José Ruiz
