Zabbix 身份认证绕过漏洞(CVE-2022-23131)

CVE: CVE-2022-23131

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 身份认证绕过

漏洞等级: 高危

年份: 2022

POC_ID: 91

漏洞描述

在配置了SAML SSO身份验证的Zabbx前端中,未经身份验证的攻击者可以修改session中的数据导致绕过身份验证。利用该漏洞攻击者需要知道zabbx的用户名。利用该漏洞需要启用SAML SSO身份验证和知道Zabbix的用户名。

FOFA 语句

系统自动生成（不一定准确）：title="Zabbix"

影响范围

Zabbix 5.4.7

漏洞详情

漏洞详情可参考:https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage

漏洞 POC

登录后可查看漏洞 POC。请先登录或注册。

修复建议

禁用SAML身份验证升级到安全版本

参考来源

https://blog.sonarsource.com/zabbix-case-study-of-unsafe-session-storage