ZABBIX の acknow.php におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report) | ScanNetSecurity
2025.12.19(金)

ZABBIX の acknow.php におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report)

1.概要
ZABBIX の障害対応のコメントページに、クロスサイトスクリプティングの脆弱性が報告されました。
リモートの第三者に利用された場合、ZABBIX にアクセスするユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
さらなる攻撃に悪用される可能性

脆弱性と脅威 エクスプロイト
32 views
facebookLINE
1.概要
ZABBIX の障害対応のコメントページに、クロスサイトスクリプティングの脆弱性が報告されました。
リモートの第三者に利用された場合、ZABBIX にアクセスするユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
さらなる攻撃に悪用される可能性があるため、対象のユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
4.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-2904&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AN/I%3AP/A%3AN%29


3.影響を受けるソフトウェア
ZABBIX 1.8.5 以前

※影響を受けるバージョンの ZABBIX が含まれる、Linux ディストリビューションにおいても、この脆弱性の影響を受ける可能性があります。


4.解説
ZABBIX は、サーバ、ネットワーク、アプリケーションを集中監視するためのオープンソースの統合監視ソフトウェアであり、統合監視に必要な監視、障害、検知、通知機能を備えています。

ZABBIX の障害対応のコメントページである acknow.php には、backurl パラメータの入力値チェックに不備が存在するため、当該パラメータに入力された文字列が適切にエスケープ処理されずに出力されてしまう問題が存在します。
このため、backurl パラメータにスクリプトを実行する不正な文字列を指定することで、クロスサイトスクリプティング攻撃が可能な脆弱性が存在します。

この脆弱性を利用することでリモートの攻撃者は、ZABBIX にアクセスするユーザのブラウザ上で任意のスクリプトが実行可能となります。


5.対策
(Web非公開)

6.ソースコード
(Web非公開)

(執筆:株式会社ラック コンピュータセキュリティ研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃対策の一助となりましたら幸い」

    アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃対策の一助となりましたら幸い」

  2. 第三者がセキュリティソフトを無効化 ~ 審調社へのランサムウェア攻撃

    第三者がセキュリティソフトを無効化 ~ 審調社へのランサムウェア攻撃

  3. 横須賀学院にランサムウェア攻撃、複数の写真や動画等の流出が判明

    横須賀学院にランサムウェア攻撃、複数の写真や動画等の流出が判明

  4. 約 4 割が「二段階認証使いにくい」金融取引の認証意識調査結果

    約 4 割が「二段階認証使いにくい」金融取引の認証意識調査結果

  5. Fortinet 製品に認証回避の脆弱性

    Fortinet 製品に認証回避の脆弱性

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 エクスプロイト 記事
TOP