由于缺少授权检查,通过用户组提升身份验证权限(CVE-2024-36467)
CVE编号
CVE-2024-36467
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-27
漏洞描述
经过身份验证并拥有API访问权限的用户(例如拥有默认用户角色的用户)可以具体到一个拥有user.update API端点访问权限的用户,他们足以将自己添加到任何群组(例如:Zabbix管理员),除了被禁用或限制GUI访问权限的群组。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论