[TLP:CLEAR] Zabbix opravuje 7 zranitelností
Zabbix opravuje 7 zranitelností, z toho 2 kritické. Opravy můžete nalézt v odkazech u jednotlivých zranitelností.
Autentizovanému vzdálenému útočníkovi je umožněno zneužít funkci spouštění skriptů v sekci Monitoring Hosts, přičemž absence výchozího escapování parametrů skriptu umožní spustit libovolný kód [1].
Zranitelnost se nachází v produktu Zabbix ve verzích (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-22116 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 8. 2024.
Autentizovanému vzdálenému útočníkovi s přístupem ke konfiguraci jedné položky (omezená role) je umožněno vykonat vzdálené spuštění kódu [2].
Zranitelnost se nachází v produktu Zabbix ve verzích (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.1) OR (>=7.0.0alpha1 AND <=7.0.0).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H
Více informací:
- CVE-2024-36461 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-822: Untrusted Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 8. 2024.
Autentizovanému vzdálenému útočníkovi je prostřednictvím protokolu auditu front-endu umožněno zobrazit nechráněná hesla v prostém textu [3].
Zranitelnost se nachází v produktu Zabbix ve verzích (>=5.0.0 AND <=5.0.42) OR (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2024-36460 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-256: Plaintext Storage of a Password at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 8. 2024.
Neautentizovanému vzdálenému útočníkovi je kvůli nadměrné spotřebě prostředků umožněno způsobit odepření služby, snížit výkon postiženého systému či způsobit pád serveru [4].
Zranitelnost se nachází v produktu Zabbix ve verzích >=7.0.0alpha1 AND <=7.0.0rc2.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-36462 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 8. 2024.
Autentizovanému lokálnímu útočníkovi, jež není administrátorem, je umožněno změnit či odstranit důležité funkce (např. odebrání služby Zabbix Agent Service) v rámci aplikace, a tím ovlivnit její integritu a dostupnost [5].
Zranitelnost se nachází v produktu Zabbix ve verzích (>=5.0.0 AND <=5.0.42) OR (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
Více informací:
- CVE-2024-22121 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-281: Improper Preservation of Permissions at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 8. 2024.
Autentizovanému vzdálenému útočníkovi je umožněno získat statistiky, jako je celkový počet hostitelů a další údaje, prostřednictvím nástroje System Information Widget [6].
Zranitelnost se nachází v produktu Zabbix ve verzích (>=5.0.0 AND <=5.0.42) OR (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2024-22114 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-281: Improper Preservation of Permissions at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 8. 2024.
Autentizovanému vzdálenému útočníkovi je umožněno rozbít log soubor Zabbix a přečíst malou část logů [7]. V případě, že by byl server spuštěn od privilegovanějšího uživatele, bylo by mu umožněno vykonat DoS útok [7].
Zranitelnost se nachází v produktu Zabbix ve verzích (>=5.0.0 AND <=5.0.42) OR (>=6.0.0 AND <=6.0.30) OR (>=6.4.0 AND <=6.4.15) OR (>=7.0.0alpha1 AND <=7.0.0rc2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2024-22123 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 8. 2024.
Odkazy
- [1] https://support.zabbix.com/browse/ZBX-25016
- [2] https://support.zabbix.com/browse/ZBX-25018
- [3] https://support.zabbix.com/browse/ZBX-25017
- [4] https://support.zabbix.com/browse/ZBX-25019
- [5] https://support.zabbix.com/browse/ZBX-25011
- [6] https://support.zabbix.com/browse/ZBX-25015
- [7] https://support.zabbix.com/browse/ZBX-25013