ZABBIX の acknow.php におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report) | ScanNetSecurity
2026.02.02(月)

ZABBIX の acknow.php におけるクロスサイトスクリプティングの脆弱性(Scan Tech Report)

1.概要
ZABBIX の障害対応のコメントページに、クロスサイトスクリプティングの脆弱性が報告されました。
リモートの第三者に利用された場合、ZABBIX にアクセスするユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
さらなる攻撃に悪用される可能性

脆弱性と脅威 エクスプロイト
32 views
facebookLINE
1.概要
ZABBIX の障害対応のコメントページに、クロスサイトスクリプティングの脆弱性が報告されました。
リモートの第三者に利用された場合、ZABBIX にアクセスするユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
さらなる攻撃に悪用される可能性があるため、対象のユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
4.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-2904&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AN/I%3AP/A%3AN%29


3.影響を受けるソフトウェア
ZABBIX 1.8.5 以前

※影響を受けるバージョンの ZABBIX が含まれる、Linux ディストリビューションにおいても、この脆弱性の影響を受ける可能性があります。


4.解説
ZABBIX は、サーバ、ネットワーク、アプリケーションを集中監視するためのオープンソースの統合監視ソフトウェアであり、統合監視に必要な監視、障害、検知、通知機能を備えています。

ZABBIX の障害対応のコメントページである acknow.php には、backurl パラメータの入力値チェックに不備が存在するため、当該パラメータに入力された文字列が適切にエスケープ処理されずに出力されてしまう問題が存在します。
このため、backurl パラメータにスクリプトを実行する不正な文字列を指定することで、クロスサイトスクリプティング攻撃が可能な脆弱性が存在します。

この脆弱性を利用することでリモートの攻撃者は、ZABBIX にアクセスするユーザのブラウザ上で任意のスクリプトが実行可能となります。


5.対策
(Web非公開)

6.ソースコード
(Web非公開)

(執筆:株式会社ラック コンピュータセキュリティ研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 通行中の市民がごみステーションで生活保護受給者の申請書を発見

    通行中の市民がごみステーションで生活保護受給者の申請書を発見

  2. AI とサイバーセキュリティをテーマに「第3回 GMO大会議・春・サイバーセキュリティ2026」を 3 / 5 開催

    AI とサイバーセキュリティをテーマに「第3回 GMO大会議・春・サイバーセキュリティ2026」を 3 / 5 開催

  3. ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策

    ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策PR

  4. 内閣官房国家サイバー統括室が BIMI 対応

    内閣官房国家サイバー統括室が BIMI 対応

  5. 新たに 15 の役割を定義 ~ JNSA「セキュリティ知識分野(SecBoK)人材スキルマップ2025年度版」公開

    新たに 15 の役割を定義 ~ JNSA「セキュリティ知識分野(SecBoK)人材スキルマップ2025年度版」公開

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 エクスプロイト 記事
TOP