概要
 
Zabbix 2.0.20, 2.2.17, 3.0.8, 3.2.4以前のバージョンで、設定済みのグローバル
スクリプトを利用して外部から任意のコマンドを実行できる可能性がある脆弱性が
存在します。

ZabbixサーバとZabbixプロキシでのアクティブチェック通信を行う際に、一度接続
されると、その後はIPアドレスの部分の文字列チェックせずにそのまま受信した
データをデータベースへ保存します。

外部から悪意あるユーザーがZabbixプロキシと同様にZabbixサーバーへデータを
送付しても同じようにデータベースへ保存されるため、外部から任意のコマンドを
実行できる可能性があります。

本脆弱性の条件
 
本脆弱性を利用される条件は、以下の設定が存在し、有効になっていることです。

・Zabbixプロキシ(アクティブ)設定
・ネットワークディスカバリまたはエージェントの自動登録設定と、それらの機能により
　ホストを作成するアクション設定
・{HOST.CONN}または{HOST.IP}マクロを利用しているグローバルスクリプト設定

対象バージョン
 
　対象バージョン: Zabbix 2.0.20, 2.2.17, 3.0.8, 3.2.4
　修正バージョン: Zabbix 2.0.21, 2.2.18, 3.0.9, 3.2.5

本脆弱性への対処について
 
ZabbixサーバとZabbixプロキシのアップデートを行ってください。