重要な脆弱性情報 CVE ID: CVE-2025-49643 CVSS スコア: 6.0 (中程度) CVSS ベクトル: CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 影響を受けるコンポーネント: フロントエンド 概要: 非対称なリソース消費によるフロントエンドのDoS(サービス拒否)脆弱性 説明: 認証済みZabbixユーザー(ゲストを含む)が /imgstore.php に対して特別に作成されたパラメータを送信することで、Webサーバーに不釣り合いなCPU負荷をかけ、潜在的にサービス拒否を引き起こす可能性があります。 既知の攻撃ベクトル: 認証済みユーザーがZabbixフロントエンドに対して作成されたHTTPリクエストを送信すること。 影響を受けるバージョンと修正バージョン: - 影響を受ける: 6.0.0 - 6.0.41 → 修正済み: 6.0.42 - 影響を受ける: 7.0.0 - 7.0.18 → 修正済み: 7.0.19 - 影響を受ける: 7.2.0 - 7.2.12 → 修正済み: 7.2.13 - 影響を受ける: 7.4.0 - 7.4.2 → 修正済み: 7.4.3 緩和策: 影響を受けるコンポーネントをそれぞれの修正バージョンにアップデートしてください。 謝辞: Zabbixは、HackerOneのバグバウンティプラットフォーム上でこの報告を提出したPamparau Sebastian(sebiice)氏に感謝いたします。