云与智能产品是否涉及CVE-2022-23131、CVE-2022-23134

CVE-2022-23131

概括 不安全的客户端会话存储导致通过配置了 SAML 的 Zabbix 前端进行身份验证绕过/实例接管

描述 在启用 SAML SSO 身份验证（非默认）的情况下，恶意行为者可以修改会话数据，因为存储在会话中的用户登录名未经过验证。

已知的攻击媒介 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。 要执行攻击，需要启用 SAML 身份验证，并且攻击者必须知道 Zabbix 用户的用户名（或使用默认禁用的访客帐户）。

CVE-2022-23134

描述 在初始设置过程之后，setup.php 文件的某些步骤不仅可以由超级管理员访问，也可以由未经身份验证的用户访问。

已知的攻击媒介 恶意攻击者可以通过步骤检查并可能更改 Zabbix 前端的配置。

云与智能各产品均不涉及