[TLP:CLEAR] Zabbix opravuje 5 zranitelností
Zabbix opravuje 5 zranitelností, z toho dvě vysoce závažné. Opravy můžete nalézt v odkazech u jednotlivých zranitelností [1][2][3][4][5].
Autentizovanému útočníkovi v lokální síti a s přístupem k API je prostřednictvím parametru groupBy umožněno provádět libovolné SQL příkazy [1].
Zranitelnost se nachází v produktu Zabbix API ve verzích (>=7.0.0 AND <=7.0.7) OR (>=7.2.0 AND <=7.2.1).
CVSS: CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-36465 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 4. 2025.
Neautentizovanému vzdálenému útočníkovi je prostřednictvím parametru backurl umožněno vykonat XSS útok kvůli nedostatečnému ošetření uživatelského vstupu v koncovém bodu /zabbix.php?action=export.valuemaps [2].
Zranitelnost se nachází v produktu *Zabbix web interface ve verzích (>=6.0.0 AND <=6.0.36) OR (>=6.4.0 AND <=6.4.20) OR (>=7.0.0 AND <=7.0.6).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-45699 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 4. 2025.
Neautentizovanému útočníkovi v lokální síti je umožněno zasílat speciálně vytvořené požadavky na server, které způsobí nadměrnou alokaci paměti a výpočetně náročnou dekompresní operaci, což povede k pádu služby [3].
Zranitelnost se nachází v produktech:
- Zabbix Server ve verzích (>=6.0.0 AND <=6.0.38) OR (>=7.0.0 AND <=7.0.9) OR (>=7.2.0 AND <=7.2.3)
- Zabbix Proxy ve verzích (>=6.0.0 AND <=6.0.38) OR (>=7.0.0 AND <=7.0.9) OR (>=7.2.0 AND <=7.2.3)
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-45700 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-770: Allocation of Resources Without Limits or Throttling at cwe.mitre.org
- CWE-789: Memory Allocation with Excessive Size Value at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 4. 2025.
Neautentizovanému útočníkovi v lokální síti je umožněno identifikovat uživatelské účty na základě rozdílné doby odezvy při neúspěšném přihlášení [4].
Zranitelnost se nachází v produktu Zabbix web interface ve verzích (>=5.0.0 AND <=5.0.45) OR (>=6.0.0 AND <=6.0.37) OR (>=7.0.0 AND <=7.0.8) OR (>=7.2.0 AND <=7.2.2).
CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2024-36469 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-208: Observable Timing Discrepancy at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 4. 2025.
Autentizovanému útočníkovi v lokální síti je umožněno získat informace o všech uživatelích, kteří sdílejí stejnou skupinu jako volající uživatel, včetně médií a dalších údajů, jako jsou pokusy o přihlášení [5].
Zranitelnost se nachází v produktu Zabbix API ve verzích (>=5.0.0 AND <=5.0.45) OR (>=6.0.0 AND <=6.0.37) OR (>=7.0.0 AND <=7.0.8) OR (>=7.2.0 AND <=7.2.2).
CVSS: CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Více informací:
- CVE-2024-42325 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-285: Improper Authorization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 1. 4. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 3. 4. 2025.
