Zabbix
Уязвимости
125
Эксплуатируемые
2
Макс. CVSS
10
Макс. EPSS
0.95683
Распределение по критичности
Критический
17
Высокий
42
Средний
52
Низкий
14
Также сопоставлено как (исходные строки): zabbix
Топ уязвимостей
CVE-2007-0640Переполнение буфера в ZABBIX до 1.1.5 имеет неизвестное воздействие и векторы атаки, связанные с «IP-адресами SNMP».
CVE-2024-42327Учетная запись пользователя без прав администратора во внешнем интерфейсе Zabbix с ролью пользователя по умолчанию или с любой другой ролью, предоставляющей доступ к API, может использовать эту уязвимость. SQL-инъекция существует в классе CUser в функции addRelatedObjects, эта функция вызывается из функции CUser.get, которая доступна для каждого пользователя, имеющего доступ к API.
CVE-2023-32728Ключ элемента Zabbix Agent 2 smart.disk.get не очищает свои параметры перед передачей их в команду оболочки, что приводит к возможной уязвимости для удаленного выполнения кода.
CVE-2023-29453Шаблоны неправильно рассматривают обратные кавычки (`) как разделители строк Javascript и не экранируют их, как ожидалось. Обратные кавычки используются, начиная с ES6, для литералов шаблонов JS. Если шаблон содержит действие шаблона Go внутри литерала шаблона Javascript, содержимое действия можно использовать для завершения литерала, внедряя произвольный код Javascript в шаблон Go. Поскольку литералы шаблонов ES6 довольно сложны и сами могут выполнять интерполяцию строк, было принято решение просто запретить использование действий шаблона Go внутри них (например, "var a = {{.}}"), поскольку нет очевидно безопасного способа разрешить такое поведение. Это использует тот же подход, что и github.com/google/safehtml. С исправлением Template. Parse возвращает ошибку при обнаружении подобных шаблонов, с кодом ошибки 12. Этот код ошибки в настоящее время не экспортируется, но будет экспортирован в выпуске Go 1.21. Пользователи, которые полагаются на предыдущее поведение, могут повторно включить его, используя флаг GODEBUG jstmpllitinterp=1, с той оговоркой, что обратные кавычки теперь будут экранированы. Это следует использовать с осторожностью.
CVE-2022-43516Правило брандмауэра, разрешающее все входящие TCP-соединения ко всем программам из любого источника и ко всем портам, создается в брандмауэре Windows после установки агента Zabbix (MSI).
CVE-2022-43515Zabbix Frontend предоставляет функцию, которая позволяет администраторам поддерживать установку и обеспечивать доступ к ней только с определенных IP-адресов. Таким образом, любой пользователь не сможет получить доступ к Zabbix Frontend во время его обслуживания, и будет предотвращено раскрытие возможных конфиденциальных данных. Злоумышленник может обойти эту защиту и получить доступ к экземпляру, используя IP-адрес, не указанный в определенном диапазоне.
CVE-2022-23131В случае экземпляров, где включена аутентификация SAML SSO (не по умолчанию), данные сеанса могут быть изменены злоумышленником, поскольку логин пользователя, хранящийся в сеансе, не был проверен. Злоумышленник, не прошедший проверку подлинности, может использовать эту проблему для повышения привилегий и получения административного доступа к Zabbix Frontend. Для выполнения атаки необходимо включить аутентификацию SAML, и злоумышленник должен знать имя пользователя Zabbix (или использовать гостевую учетную запись, которая отключена по умолчанию).
CVE-2020-11800Zabbix Server 2.2.x и 3.0.x до 3.0.31 и 3.2 позволяет удаленным злоумышленникам выполнять произвольный код.
CVE-2016-10134Уязвимость SQL-инъекции в Zabbix до версий 2.2.14 и 3.0 до 3.0.4 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через параметр toggle_ids массива в latest.php.
CVE-2014-3005Уязвимость XML external entity (XXE) в Zabbix 1.8.x до 1.8.21rc1, 2.0.x до 2.0.13rc1, 2.2.x до 2.2.5rc1 и 2.3.x до 2.3.2 позволяет удаленным злоумышленникам читать произвольные файлы или потенциально выполнять произвольный код через специально созданный DTD в XML-запросе.
CVE-2013-5743Множественные уязвимости SQL-инъекций в Zabbix 1.8.x до 1.8.18rc1, 2.0.x до 2.0.9rc1 и 2.1.x до 2.1.7.
CVE-2013-3738Уязвимость включения файлов существует в Zabbix 2.0.6 из-за недостаточной очистки строк запроса в CGI-скриптах, что может позволить удаленному злоумышленнику выполнить произвольный код.
CVE-2009-4502Функция NET_TCP_LISTEN в net.c в Zabbix Agent до версии 1.6.7, при работе на FreeBSD или Solaris, позволяет удаленным злоумышленникам обойти настройку EnableRemoteCommands и выполнять произвольные команды через метасимволы оболочки в аргументе net.tcp.listen. ПРИМЕЧАНИЕ: эта атака ограничена атаками с доверенных IP-адресов.
CVE-2024-42330Объект HttpRequest позволяет получать HTTP-заголовки из ответа сервера после отправки запроса. Проблема в том, что возвращаемые строки создаются непосредственно из данных, возвращаемых сервером, и некорректно закодированы для JavaScript. Это позволяет создавать внутренние строки, которые можно использовать для доступа к скрытым свойствам объектов.
CVE-2024-22122Zabbix позволяет настраивать SMS-уведомления. Внедрение AT-команд происходит на «Zabbix Server», поскольку нет проверки поля «Номер» ни в Интернете, ни на стороне сервера Zabbix. Злоумышленник может запустить тест SMS, предоставив специально созданный номер телефона, и выполнить дополнительные AT-команды на модеме.
CVE-2023-32723Запрос к LDAP отправляется до проверки разрешений пользователя.
CVE-2019-17382В zabbix.php?action=dashboard.view&dashboardid=1 в Zabbix до версии 4.4 была обнаружена проблема. Злоумышленник может обойти страницу входа в систему и получить доступ к странице панели мониторинга, а затем создать панель мониторинга, отчет, экран или карту без имени пользователя/пароля (т. е. анонимно). Все созданные элементы (панель мониторинга/отчет/экран/карта) доступны другим пользователям и администратору.
CVE-2024-36467Аутентифицированному пользователю с доступом к API (например, пользователю с ролью пользователя по умолчанию), а точнее, пользователю с доступом к конечной точке API user.update, достаточно, чтобы добавить себя в любую группу (например, в Zabbix Administrators), за исключением групп, которые отключены или имеют ограниченный доступ к графическому интерфейсу.
CVE-2024-36466Ошибка в коде позволяет злоумышленнику подписывать поддельный файл cookie zbx_session, что затем позволяет им входить в систему с правами администратора.
CVE-2024-36463Реализация atob в «Zabbix JS» позволяет создать строку с произвольным содержимым и использовать ее для доступа к внутренним свойствам объектов.
CVE-2024-36461В Zabbix пользователи имеют возможность напрямую изменять указатели памяти в движке JavaScript.
CVE-2024-22120Сервер Zabbix может выполнять выполнение команд для настроенных скриптов. После выполнения команды запись аудита добавляется в «Журнал аудита». Поскольку поле «clientip» не очищается, возможно внедрение SQL в «clientip» и использование временной слепой SQL-инъекции.
CVE-2023-32725Веб-сайт, настроенный в виджете URL, получит файл cookie сеанса при тестировании или выполнении запланированных отчетов. Полученный файл cookie сеанса затем можно использовать для доступа к интерфейсу как к конкретному пользователю.
CVE-2023-32724Указатель памяти находится в свойстве объекта Ducktape. Это приводит к многочисленным уязвимостям, связанным с прямым доступом к памяти и манипулированием ею.
CVE-2021-27927В Zabbix версий с 4.0.x до 4.0.28rc1, с 5.0.0alpha1 до 5.0.10rc1, с 5.2.x до 5.2.6rc1 и с 5.4.0alpha1 до 5.4.0beta2 контроллеру CControllerAuthenticationUpdate не хватает механизма защиты CSRF. Код внутри этого контроллера вызывает diableSIDValidation внутри метода init(). Злоумышленнику не нужно знать учетные данные для входа пользователя Zabbix, но необходимо знать правильный URL-адрес Zabbix и контактную информацию существующего пользователя с достаточными привилегиями.