Zabbix Server
Уязвимости
22
Эксплуатируемые
0
Макс. CVSS
9.9
Макс. EPSS
0.78831
Распределение по критичности
Критический
3
Высокий
9
Средний
3
Низкий
7
Затронутые диапазоны версий
4.0.0–4.0.495.0.0–5.0.43rc15.0.0–5.0.44rc15.0–5.0.43rc16.0.0–6.0.216.0.0–6.0.28rc16.0.0–6.0.30rc16.0.0–6.0.32rc16.0.0–6.0.34rc16.0.0–6.0.35rc16.0–6.0.31rc16.4.0–6.4.16rc17.0.0alpha1–7.0.0rc37.0.0–7.0.3rc17.0.0–7.0.4rc1
Также сопоставлено как (исходные строки): zabbix_server
Топ уязвимостей
CVE-2024-42327Учетная запись пользователя без прав администратора во внешнем интерфейсе Zabbix с ролью пользователя по умолчанию или с любой другой ролью, предоставляющей доступ к API, может использовать эту уязвимость. SQL-инъекция существует в классе CUser в функции addRelatedObjects, эта функция вызывается из функции CUser.get, которая доступна для каждого пользователя, имеющего доступ к API.
CVE-2024-42330Объект HttpRequest позволяет получать HTTP-заголовки из ответа сервера после отправки запроса. Проблема в том, что возвращаемые строки создаются непосредственно из данных, возвращаемых сервером, и некорректно закодированы для JavaScript. Это позволяет создавать внутренние строки, которые можно использовать для доступа к скрытым свойствам объектов.
CVE-2024-22122Zabbix позволяет настраивать SMS-уведомления. Внедрение AT-команд происходит на «Zabbix Server», поскольку нет проверки поля «Номер» ни в Интернете, ни на стороне сервера Zabbix. Злоумышленник может запустить тест SMS, предоставив специально созданный номер телефона, и выполнить дополнительные AT-команды на модеме.
CVE-2024-36467Аутентифицированному пользователю с доступом к API (например, пользователю с ролью пользователя по умолчанию), а точнее, пользователю с доступом к конечной точке API user.update, достаточно, чтобы добавить себя в любую группу (например, в Zabbix Administrators), за исключением групп, которые отключены или имеют ограниченный доступ к графическому интерфейсу.
CVE-2024-36463Реализация atob в «Zabbix JS» позволяет создать строку с произвольным содержимым и использовать ее для доступа к внутренним свойствам объектов.
CVE-2024-36461В Zabbix пользователи имеют возможность напрямую изменять указатели памяти в движке JavaScript.
CVE-2024-22120Сервер Zabbix может выполнять выполнение команд для настроенных скриптов. После выполнения команды запись аудита добавляется в «Журнал аудита». Поскольку поле «clientip» не очищается, возможно внедрение SQL в «clientip» и использование временной слепой SQL-инъекции.
CVE-2023-32725Веб-сайт, настроенный в виджете URL, получит файл cookie сеанса при тестировании или выполнении запланированных отчетов. Полученный файл cookie сеанса затем можно использовать для доступа к интерфейсу как к конкретному пользователю.
CVE-2024-36468Сообщаемая уязвимость представляет собой переполнение стекового буфера в функции zbx_snmp_cache_handle_engineid в коде сервера/прокси Zabbix. Эта проблема возникает при копировании данных из session->securityEngineID в local_record.engineid без надлежащей проверки границ.
CVE-2024-36462Неконтролируемое потребление ресурсов относится к уязвимости программного обеспечения, когда злоумышленник или система использует чрезмерные ресурсы, такие как ЦП, память или пропускная способность сети, без надлежащих ограничений или контроля. Это может вызвать атаку типа «отказ в обслуживании» (DoS) или ухудшить производительность затронутой системы.
CVE-2024-22116Администратор с ограниченными разрешениями может использовать функциональность выполнения скриптов в разделе «Мониторинг хостов». Отсутствие экранирования по умолчанию для параметров скрипта позволило этому пользователю выполнять произвольный код через скрипт Ping, тем самым ставя под угрозу инфраструктуру.
CVE-2023-32727Злоумышленник, имеющий привилегию настраивать элементы Zabbix, может использовать функцию icmpping() с дополнительной вредоносной командой внутри нее для выполнения произвольного кода на текущем сервере Zabbix.
CVE-2024-42328Когда веб-драйвер для объекта Browser загружает данные с HTTP-сервера, указатель данных устанавливается в NULL и выделяется только в curl_write_cb при получении данных. Если ответ сервера является пустым документом, то wd->data в коде ниже останется NULL, и попытка чтения из него приведет к сбою.
CVE-2024-42326Обнаружена ошибка use-after-free в browser.c в функции es_browser_get_variant.
CVE-2024-22114Пользователь, не имеющий разрешений ни на один из хостов, может получать доступ и просматривать количество хостов и другую статистику через виджет системной информации на панели управления глобального представления.
CVE-2024-42332Исследователь показывает, что из-за способа анализа журнала ловушек SNMP злоумышленник может создать ловушку SNMP с дополнительными строками информации и отобразить поддельные данные в пользовательском интерфейсе Zabbix. Для этой атаки требуется, чтобы аутентификация SNMP была отключена и/или злоумышленник знал детали сообщества/аутентификации. Для атаки требуется, чтобы элемент SNMP был настроен как текст на целевом хосте.
CVE-2024-42331В файле src/libs/zbxembed/browser.c метод es_browser_ctor извлекает указатель кучи из движка Duktape JavaScript. Этот указатель кучи впоследствии используется методом browser_push_error в файле src/libs/zbxembed/browser_error.c. Ошибка use-after-free может возникнуть на этом этапе, если указатель кучи wd->browser освобождается сборщиком мусора.
CVE-2024-42329Веб-драйвер для объекта Browser ожидает, что объект ошибки будет инициализирован при сбое функции webdriver_session_query. Но эта функция может завершиться неудачно по разным причинам без описания ошибки, и тогда wd->error будет NULL, и попытка чтения из него приведет к сбою.
CVE-2024-42333Исследователь показывает, что можно вызвать утечку небольшого объема памяти Zabbix Server, используя чтение вне границ в src/libs/zbxmedia/email.c.
CVE-2024-36464При экспорте типов носителей пароль экспортируется в YAML в виде обычного текста. Это представляется проблемой типа лучших практик и может не иметь фактического воздействия. Пользователю потребуется иметь разрешения для доступа к типам носителей и, следовательно, предполагается, что у него есть доступ к этим паролям.
CVE-2024-22123Настройка SMS media позволяет установить файл GSM-модема. Позже этот файл используется как устройство Linux. Но поскольку в Linux все является файлом, можно установить другой файл, например, файл журнала, и zabbix_server попытается связаться с ним как с модемом. В результате файл журнала будет поврежден AT-командами, и небольшая часть содержимого файла журнала будет передана в пользовательский интерфейс.
CVE-2024-22117Когда URL добавляется к элементу карты, он записывается в базу данных с последовательными идентификаторами. При добавлении нового URL система извлекает последнее значение sysmapelementurlid и увеличивает его на единицу. Однако возникает проблема, когда пользователь вручную изменяет значение sysmapelementurlid, добавляя sysmapelementurlid + 1. Это действие не позволяет другим добавлять URL-адреса к элементу карты.