发布日期：2022-07-06
更新日期：2022-08-30

受影响系统：

ZABBIX Zabbix Frontend < 6.2.0rc1
ZABBIX Zabbix Frontend < 6.0.5rc1
ZABBIX Zabbix Frontend < 5.0.25rc1
ZABBIX Zabbix Frontend < 4.0.43rc1

描述：

---

CVE(CAN) ID: CVE-2022-35230

Zabbix Frontend是美国Zabbix公司的一个监控软件前端工具。
Zabbix Frontend 4.0.43rc1之前版本、5.0.25rc1之前版本、6.0.5rc1之前版本和6.2.0rc1之前版本存在跨站脚本漏洞。经过身份认证的攻击者可利用该漏洞为图形页面创建包含反射Javascript代码的链接，并将其发送给其他用户，进而诱导受害者使用已知的令牌执行载荷。

<*链接：https://support.zabbix.com/browse/ZBX-21305
*>

建议：

---

厂商补丁：

ZABBIX
------
ZABBIX已经为此发布了一个安全公告（ZBX-21305）以及相应补丁:
ZBX-21305：Reflected XSS in graphs page of Zabbix Frontend [CVE-2022-35230]
链接：https://support.zabbix.com/browse/ZBX-21305

安全防护：
绿盟WAF无需升级补丁即可防护该漏洞。

浏览次数：794
严重程度：0（网友投票）