目录
1.漏洞概述
Zabbix在启用SAML SSO身份验证(非默认)的情况下,攻击者可通过修改会话数据达到绕过登录进入后台的目的,因为存储在会话中的用户登录名未经过验证。未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix前端的管理员访问权限。
注意:要执行攻击,Zabbix需要启用SAML身份验证,并且攻击者必须知道 Zabbix用户的用户名(或使用默认禁用的访客帐户)。
2.影响版本
zabbix <= 6.0
3.漏洞等级
严重
目录
Zabbix在启用SAML SSO身份验证(非默认)的情况下,攻击者可通过修改会话数据达到绕过登录进入后台的目的,因为存储在会话中的用户登录名未经过验证。未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix前端的管理员访问权限。
注意:要执行攻击,Zabbix需要启用SAML身份验证,并且攻击者必须知道 Zabbix用户的用户名(或使用默认禁用的访客帐户)。
zabbix <= 6.0
严重