ZABBIX の acknow.php におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report) | ScanNetSecurity
2026.06.14(日)

ZABBIX の acknow.php におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report)

1.概要
ZABBIX の障害対応のコメントページに、クロスサイトスクリプティングの脆弱性が報告されました。
リモートの第三者に利用された場合、ZABBIX にアクセスするユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
さらなる攻撃に悪用される可能性

脆弱性と脅威 エクスプロイト
32 views
facebookLINE
1.概要
ZABBIX の障害対応のコメントページに、クロスサイトスクリプティングの脆弱性が報告されました。
リモートの第三者に利用された場合、ZABBIX にアクセスするユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
さらなる攻撃に悪用される可能性があるため、対象のユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
4.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-2904&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AN/I%3AP/A%3AN%29


3.影響を受けるソフトウェア
ZABBIX 1.8.5 以前

※影響を受けるバージョンの ZABBIX が含まれる、Linux ディストリビューションにおいても、この脆弱性の影響を受ける可能性があります。


4.解説
ZABBIX は、サーバ、ネットワーク、アプリケーションを集中監視するためのオープンソースの統合監視ソフトウェアであり、統合監視に必要な監視、障害、検知、通知機能を備えています。

ZABBIX の障害対応のコメントページである acknow.php には、backurl パラメータの入力値チェックに不備が存在するため、当該パラメータに入力された文字列が適切にエスケープ処理されずに出力されてしまう問題が存在します。
このため、backurl パラメータにスクリプトを実行する不正な文字列を指定することで、クロスサイトスクリプティング攻撃が可能な脆弱性が存在します。

この脆弱性を利用することでリモートの攻撃者は、ZABBIX にアクセスするユーザのブラウザ上で任意のスクリプトが実行可能となります。


5.対策
(Web非公開)

6.ソースコード
(Web非公開)

(執筆:株式会社ラック コンピュータセキュリティ研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ビジュアルアーツに不正アクセス、発売前ゲームのマスターデータが海外Webサイトにアップロード

    ビジュアルアーツに不正アクセス、発売前ゲームのマスターデータが海外Webサイトにアップロード

  2. 日本大学文理学部のウェブサイトが改ざん被害、カジノサイトを模した不正な画面が表示

    日本大学文理学部のウェブサイトが改ざん被害、カジノサイトを模した不正な画面が表示

  3. CAMPFIRE への不正アクセス、従業員が発行した GitHub 認証情報が個人開発で利用していたサーバ上に意図せずアップロードされ不正利用

    CAMPFIRE への不正アクセス、従業員が発行した GitHub 認証情報が個人開発で利用していたサーバ上に意図せずアップロードされ不正利用

  4. 中学校でサポート詐欺被害、口座から 100 円と 999 万 9,999 円の送金

    中学校でサポート詐欺被害、口座から 100 円と 999 万 9,999 円の送金

  5. 添付ファイル分離メールサーバへの不正アクセス 第二報 ~ 保存されていたメール情報が漏えいした可能性

    添付ファイル分離メールサーバへの不正アクセス 第二報 ~ 保存されていたメール情報が漏えいした可能性

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 エクスプロイト 記事
TOP