「Zabbix」のエージェントにコードインジェクションの脆弱性

ネットワーク管理ソフトウェア「Zabbix」のエージェントである「Zabbix Agent 2」にコードインジェクションの脆弱性が明らかとなった。

パラメータをシェルコマンドにわたす際、サニタイズを行っておらず、リモートよりコードを実行されるおそれがある「CVE-2023-32728」が明らかとなったもの。

バグバウンティプログラムを通じて報告されたもので、現地時間12月18日に公開したアドバイザリにおいて明らかにされた。同社は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「4.6」、重要度を「中（Medium）」とレーティングしている。

一方米国立標準技術研究所（NIST）の脆弱性データベース「NVD」では、CVSS基本値を「9.8」、重要度を「クリティカル（Critical）」とした。攻撃の複雑さ、必要とされる権限、機密性、完全性、可用性への影響において評価が異なり、より高い値となっている。

同社では、11月にリリースした「同6.4.9rc1」「同6.0.24rc1」や、10月にリリースした「同5.0.39rc1」にて同脆弱性を修正済みだという。

（Security NEXT - 2023/12/26 ） ツイート

PR

関連記事

MFA基盤管理製品「RSA AM」にセキュリティアップデート
「LogStare Collector」に複数の脆弱性 - 最新版へ更新を
「Apache Syncope」に脆弱性 - 内部DB構成でPW特定のおそれ
国会図書館のシステム開発環境から個人情報が流出した可能性
IT資産管理製品「MaLion」のWindows向けエージェントに深刻な脆弱性
ランサム感染でサーバ障害、調査や復旧実施 - YAC子会社
病院向け月刊誌に患者の個人情報 - 石川県の公立病院
図書館読み聞かせボランティア向けのメールで誤送信 - 柏崎市
医療者向け会員サービスで個人情報が閲覧可能に - 権限設定ミス
NASがランサム被害、個人情報流出の可能性 - 順大