[TLP:CLEAR] Zabbix opravuje 7 zranitelností

Zabbix opravuje 7 zranitelností, z toho 2 kritické. Opravy můžete nalézt v odkazech u jednotlivých zranitelností.

Zabbix - remote code execution (CVE-2024-22116) CVSS 9.9 (Critical)

Autentizovanému vzdálenému útočníkovi je umožněno zneužít funkci spouštění skriptů v sekci Monitoring Hosts, přičemž absence výchozího escapování parametrů skriptu umožní spustit libovolný kód [1].

Zranitelnost se nachází v produktu Zabbix ve verzích (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 9. 8. 2024.

Zabbix - remote code execution (CVE-2024-36461) CVSS 9.1 (Critical)

Autentizovanému vzdálenému útočníkovi s přístupem ke konfiguraci jedné položky (omezená role) je umožněno vykonat vzdálené spuštění kódu [2].

Zranitelnost se nachází v produktu Zabbix ve verzích (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.1) OR (>=7.0.0alpha1 AND <=7.0.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H

Více informací:

Zranitelnost byla veřejně oznámena 9. 8. 2024.

Zabbix - password data leak (CVE-2024-36460) CVSS 8.1 (High)

Autentizovanému vzdálenému útočníkovi je prostřednictvím protokolu auditu front-endu umožněno zobrazit nechráněná hesla v prostém textu [3].

Zranitelnost se nachází v produktu Zabbix ve verzích (>=5.0.0 AND <=5.0.42) OR (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Více informací:

Zranitelnost byla veřejně oznámena 9. 8. 2024.

Zabbix - denial of service (CVE-2024-36462) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nadměrné spotřebě prostředků umožněno způsobit odepření služby, snížit výkon postiženého systému či způsobit pád serveru [4].

Zranitelnost se nachází v produktu Zabbix ve verzích >=7.0.0alpha1 AND <=7.0.0rc2.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 9. 8. 2024.

Zabbix - incorrectly configured access control security levels (CVE-2024-22121) CVSS 6.1 (Medium)

Autentizovanému lokálnímu útočníkovi, jež není administrátorem, je umožněno změnit či odstranit důležité funkce (např. odebrání služby Zabbix Agent Service) v rámci aplikace, a tím ovlivnit její integritu a dostupnost [5].

Zranitelnost se nachází v produktu Zabbix ve verzích (>=5.0.0 AND <=5.0.42) OR (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 9. 8. 2024.

Zabbix - information elicitation (CVE-2024-22114) CVSS 4.3 (Medium)

Autentizovanému vzdálenému útočníkovi je umožněno získat statistiky, jako je celkový počet hostitelů a další údaje, prostřednictvím nástroje System Information Widget [6].

Zranitelnost se nachází v produktu Zabbix ve verzích (>=5.0.0 AND <=5.0.42) OR (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 9. 8. 2024.

Zabbix - arbitrary file read, denial of service (CVE-2024-22123) CVSS 2.7 (Low)

Autentizovanému vzdálenému útočníkovi je umožněno rozbít log soubor Zabbix a přečíst malou část logů [7]. V případě, že by byl server spuštěn od privilegovanějšího uživatele, bylo by mu umožněno vykonat DoS útok [7].

Zranitelnost se nachází v produktu Zabbix ve verzích (>=5.0.0 AND <=5.0.42) OR (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N

Více informací:

Zranitelnost byla veřejně oznámena 9. 8. 2024.


Publikovala Michaela Mačalíková dne 12. 8. 2024.

CESNET CERTS Logo