Cross-Site Scripting en Zabbix

abbix es un sistema open source de monitorización redes, disponible para múltiples plataformas, que permite monitorizar el rendimiento, disponibilidad e integridad de los equipos y servicios que se están ejecutando en ellos. Entre sus características se encuentran la posibilidad de monitorización de forma remota a través de un interfaz web con soporte para los métodos GET y POST, y el envío de alertas vía email, teléfono móvil, SMS, alertas acústicas, etc.

Se han detectado dos vulnerabilidades que afectan a Zabbix, debido a la falta de comprobación de determinados parámetros de entrada, que podrían conducir a ataques Cross-Site Scripting (XSS).

Las vulnerabilidades son las siguientes:

• falta de comprobación al utilizar el parámetro de entrada que se pasa a los nombres de grupos de hosts en "hostgroups.php". Para aprovechar esta vulnerabilidad es necesario disponer de permisos de acceso para modificar los nombres de los grupos de hosts.
• falta de comprobación de la variable "gname" al crear grupos de usuarios en "usergrps.php".

La versión 1.8.10RC1 de Zabbix corrige las vulnerabilidades expuestas anteriormente.

Más información:

Zabbix releases notes http://www.zabbix.com/rn1.8.10rc1.php

Persistent Cross Site Scripting Vulnerabilities (ZBX-4015) https://support.zabbix.com/browse/ZBX-4015