Page 5 of 59 results (0.006 seconds)

CVSS: 9.1EPSS: 31%CPEs: 1EXPL: 2

An issue was discovered in zabbix.php?action=dashboard.view&dashboardid=1 in Zabbix through 4.4. An attacker can bypass the login page and access the dashboard page, and then create a Dashboard, Report, Screen, or Map without any Username/Password (i.e., anonymously). All created elements (Dashboard/Report/Screen/Map) are accessible by other users and by an admin. Se detectó un problema en zabbix.php? • https://github.com/K3ysTr0K3R/CVE-2019-17382-EXPLOIT https://lists.debian.org/debian-lts-announce/2023/08/msg00027.html https://www.exploit-db.com/exploits/47467 • CWE-639: Authorization Bypass Through User-Controlled Key •

CVSS: 5.3EPSS: 1%CPEs: 5EXPL: 0

Zabbix through 4.4.0alpha1 allows User Enumeration. With login requests, it is possible to enumerate application usernames based on the variability of server responses (e.g., the "Login name or password is incorrect" and "No permissions for system access" messages, or just blocking for a number of seconds). This affects both api_jsonrpc.php and index.php. Zabbix versiones hasta 4.4.0alpha1, permite la enumeración de usuarios. Con las peticiones de inicio de sesión, es posible enumerar los nombres de usuario de la aplicación en función de la variabilidad de las respuestas del servidor (por ejemplo, los mensajes "Login name or password is incorrect" y "No permissions for system access", o solo bloqueando durante varios segundos). • https://lists.debian.org/debian-lts-announce/2021/04/msg00018.html https://lists.debian.org/debian-lts-announce/2023/04/msg00013.html https://support.zabbix.com/browse/ZBX-16532 • CWE-203: Observable Discrepancy •

CVSS: 6.1EPSS: 0%CPEs: 5EXPL: 1

Zabbix before 2.2.21rc1, 3.x before 3.0.13rc1, 3.1.x and 3.2.x before 3.2.10rc1, and 3.3.x and 3.4.x before 3.4.4rc1 allows open redirect via the request parameter. Zabbix, en versiones anteriores a la 2.2.21rc1, versiones 3.x anteriores a la 3.0.13rc1, versiones 3.1.x y versiones 3.2.x anteriores a la 3.2.10rc1, y en versiones 3.3.x y 3.4.x anteriores a la 3.4.4rc1, permite la redirección abierta mediante el parámetro request. • https://lists.debian.org/debian-lts-announce/2019/03/msg00010.html https://lists.debian.org/debian-lts-announce/2020/11/msg00039.html https://support.zabbix.com/browse/ZBX-10272 https://support.zabbix.com/browse/ZBX-13133 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

The MESILAT Zabbix plugin before 1.1.15 for Atlassian Confluence allows attackers to read arbitrary files. El plugin MESILAT Zabbix en versiones anteriores a la 1.1.15 para Atlassian Confluence permite que los atacantes lean archivos arbitrarios. • https://marketplace.atlassian.com/apps/1215171/zabbix-plugin?hosting=server&tab=versions • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 4.3EPSS: 0%CPEs: 24EXPL: 1

An information disclosure vulnerability exists in the iConfig proxy request of Zabbix server 2.4.X. A specially crafted iConfig proxy request can cause the Zabbix server to send the configuration information of any Zabbix proxy, resulting in information disclosure. An attacker can make requests from an active Zabbix proxy to trigger this vulnerability. Existe una vulnerabilidad de divulgación de información en la petición del proxy iConfig en las versiones 2.4.X del servidor Zabbix. Una petición del proxy iConfig especialmente manipulada puede hacer que el servidor Zabbix envíe la información de configuración de cualquier proxy de Zabbix, lo que resulta en una divulgación de información. • https://lists.debian.org/debian-lts-announce/2019/03/msg00010.html https://talosintelligence.com/vulnerability_reports/TALOS-2017-0327 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •