Vulnerabilidad en un enlace con código Javascript para la página de detección (CVE-2022-35229)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
06/07/2022
Última modificación:
03/11/2025
Descripción
Un usuario autenticado puede crear un enlace con código Javascript reflejado en su interior para la página de detección y enviarlo a otros usuarios. La carga útil sólo puede ejecutarse con un valor de token CSRF conocido de la víctima, que es cambiado periódicamente y es difícil de predecir
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zabbix:zabbix:*:*:*:*:*:*:*:* | 4.0.0 (excluyendo) | |
| cpe:2.3:a:zabbix:zabbix:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.0.25 (excluyendo) |
| cpe:2.3:a:zabbix:zabbix:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.4 (incluyendo) |
| cpe:2.3:a:zabbix:zabbix:5.0.25:-:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://lists.debian.org/debian-lts-announce/2023/04/msg00013.html
- https://lists.debian.org/debian-lts-announce/2023/08/msg00027.html
- https://support.zabbix.com/browse/ZBX-21306
- https://lists.debian.org/debian-lts-announce/2023/04/msg00013.html
- https://lists.debian.org/debian-lts-announce/2023/08/msg00027.html
- https://lists.debian.org/debian-lts-announce/2024/10/msg00000.html
- https://support.zabbix.com/browse/ZBX-21306