Аутентифицированный пользователь Zabbix (роль пользователя) с разрешениями на запись шаблона/хоста может создавать объекты через API Configuration.import. Это может привести к потере конфиденциальности из-за создания неавторизованных хостов. Обратите внимание, что роли пользователя обычно недостаточно для создания и редактирования шаблонов/хостов даже с разрешениями на запись.
Показать оригинальное описание (EN)
An authenticated Zabbix user (User role) with template/host write permissions is able to create objects via the configuration.import API. This can lead to confidentiality loss by creating unauthorized hosts. Note that the User role is normally not sufficient to create and edit templates/hosts even with write permissions.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0