Se han anunciado dos vulnerabilidades en Zabbix que podrían permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting.

Zabbix es un sistema open source de monitorización redes, disponible para múltiples plataformas, que permite monitorizar el rendimiento, disponibilidad e integridad de los equipos y servicios que se están ejecutando en ellos.

Fuente: http://unaaldia.hispasec.com/2011/12/cross-site-scripting-en-zabbix.html

Entre sus características se encuentran la posibilidad de monitorización de forma remota a través de un interfaz
web con soporte para los métodos GET y POST, y el envío de alertas vía email, teléfono móvil, SMS, alertas acústicas, etc.

Se han detectado dos vulnerabilidades que afectan a Zabbix, debido a la
falta de comprobación de determinados parámetros de entrada, que podrían
conducir a ataques Cross-Site Scripting (XSS).

Las vulnerabilidades son las siguientes:

* falta de comprobación al utilizar el parámetro de entrada que se pasa
a los nombres de grupos de hosts en “hostgroups.php”. Para aprovechar
esta vulnerabilidad es necesario disponer de permisos de acceso para
modificar los nombres de los grupos de hosts.

* falta de comprobación de la variable “gname” al crear grupos de
usuarios en “usergrps.php”.

Ninguna de las vulnerabilidades anteriores tiene asignado CVE.

La versión 1.8.10RC1 de Zabbix corrige las vulnerabilidades expuestas
anteriormente.

Más información:

Zabbix releases notes
http://www.zabbix.com/rn1.8.10rc1.php

Persistent Cross Site Scripting Vulnerabilities (ZBX-4015)
https://support.zabbix.com/browse/ZBX-4015

Juan José Ruiz
[email protected]

Fox TroopSeguridadSoftwareCross-Site ScriptingSe han anunciado dos vulnerabilidades en Zabbix que podrían permitir a un atacante remoto llevar a cabo ataques Cross-Site Scripting. Zabbix es un sistema open source de monitorización redes, disponible para múltiples plataformas, que permite monitorizar el rendimiento, disponibilidad e integridad de los equipos y servicios que se están ejecutando...comunidad virtual para compartir y difundir: información, conocimiento y experiencias relacionadas con las Tecnologías de la Información y la Comunicación.