CVE-2022-23131：Zabbix 前端身份验证绕过漏洞警报

美国网络安全和基础设施安全局 (CISA) 在其已知已利用漏洞目录中添加了两个新的 Zabbix 漏洞（CVE-2022-23131 和 CVE-2022-23134）。据报道，该漏洞会影响 Zabbix 基础设施监控工具。

漏洞详情如下：

• CVE-2022-23131 – 不安全的客户端会话存储导致通过配置了 SAML 的 Zabbix 前端进行身份验证绕过/实例接管
  • 受影响的版本：5.4.0 – 5.4.8；6.0.0alpha1
• CVE-2022-23134 – 如果配置文件已存在，则未经身份验证的用户可能查看设置页面
  • 受影响的版本：5.4.0 – 5.4.8；6.0.0 – 6.0.0beta1

根据具有 约束力的操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，为降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞。此外，网络安全专家建议组织尽快审查并主动解决其基础设施中的漏洞。值得注意的是，CISA 下令所有联邦民事行政部门机构 (FCEB) 机构在 2022 年 3 月 8 日之前解决这两个 Zabbix 漏洞。

这两个漏洞是由 SonarSource 研究员 Thomas Chauchefoin 披露的，受影响的 Zabbix Web 版本主要包括 5.4.8、5.0.18 和 4.0.36。Zabbix Certified Expert & Trainer Arturs Lontons 在博客中写道：“我们敦促大家谁在您的环境中使用 SAML SSO 身份验证功能，或将您的 Zabbix 实例更新到上述已解决安全漏洞的版本之一。”