ALT Linux Team

Branch p10_e2k update on 2025-12-26

2025-12-26

ALT-BU-2025-16357-1

Branch p10_e2k update bulletin.

ALT-PU-2025-16353-1

Package ca-certificates-digital.gov.ru updated to version 1.3-alt1 for branch p10_e2k.

Closed bugs

Bug #57352

Минцифры обновила сертификаты в ноябре 2025 г

ALT-PU-2025-16355-1

Package nss updated to version 3.113-alt1 for branch p10_e2k.

Closed bugs

Bug #49756

nss собран без debuginfo

ALT-PU-2025-16356-1

Package zabbix updated to version 7.0.21-alt0.p10.1 for branch p10_e2k.

Closed vulnerabilities

Published: 2024-05-20
Modified: 2025-10-24

BDU:2024-03942

Уязвимость сервера универсальной системы мониторинга Zabbix Workstation, связанная с ошибками при обработке входных данных, позволяющая нарушителю выполнить произвольный код

Severity: CRITICAL (9.1) Vector: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Severity: CRITICAL (9.0) Vector: AV:N/AC:L/Au:S/C:C/I:C/A:C
References:
Published: 2024-09-13
Modified: 2025-03-19

BDU:2024-06995

Уязвимость универсальной системы мониторинга Zabbix, связанная с ненадлежащим сохранением разрешений, позволяющая нарушителю повысить свои привилегии

Severity: MEDIUM (6.1) Vector: AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
Severity: MEDIUM (5.2) Vector: AV:L/AC:L/Au:S/C:N/I:C/A:P
References:
Published: 2024-09-13
Modified: 2025-05-06

BDU:2024-07007

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильной нейтрализацией специальных элементов, используемых в команде, позволяющая нарушителю выполнить дополнительные AT-команды на модеме

Severity: LOW (3.0) Vector: AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:L/A:N
Severity: LOW (1.7) Vector: AV:N/AC:H/Au:M/C:N/I:P/A:N
References:
Published: 2024-09-13
Modified: 2025-05-06

BDU:2024-07008

Уязвимость универсальной системы мониторинга Zabbix, связанная с хранением пароля в открытом виде, позволяющая нарушителю получить доступ к конфиденциальной информации

Severity: HIGH (8.1) Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Severity: HIGH (8.5) Vector: AV:N/AC:L/Au:S/C:C/I:C/A:N
References:
Published: 2024-09-13
Modified: 2025-05-06

BDU:2024-07009

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнить произвольный код

Severity: LOW (2.7) Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
Severity: LOW (3.3) Vector: AV:N/AC:L/Au:M/C:N/I:P/A:N
References:
Published: 2024-09-13
Modified: 2025-05-06

BDU:2024-07010

Уязвимость универсальной системы мониторинга Zabbix, связанная с разыменованием ненадежного указателя, позволяющая нарушителю выполнить произвольный код

Severity: CRITICAL (9.1) Vector: AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H
Severity: HIGH (8.0) Vector: AV:N/AC:L/Au:S/C:P/I:P/A:C
References:
Published: 2025-05-06
Modified: 2025-08-13

BDU:2024-10773

Уязвимость демона snmptrapd универсальной системы мониторинга Zabbix, позволяющая нарушителю осуществить подмену пользовательского интерфейса

Severity: LOW (3.7) Vector: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Severity: LOW (2.6) Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N
References:
Published: 2025-02-03
Modified: 2025-05-06

BDU:2025-00959

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным сохранением разрешений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Severity: MEDIUM (4.3) Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Severity: MEDIUM (4.0) Vector: AV:N/AC:L/Au:S/C:P/I:N/A:N
References:
Published: 2025-05-16
Modified: 2025-12-26

BDU:2025-05632

Уязвимость сервера универсальной системы мониторинга Zabbix, позволяющая нарушителю вызвать отказ в обслуживании

Severity: MEDIUM (6.5) Vector: AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Severity: MEDIUM (6.1) Vector: AV:A/AC:L/Au:N/C:N/I:N/A:C
References:
Published: 2025-05-16
Modified: 2025-12-26

BDU:2025-05633

Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю выполнить произвольные команды

Severity: HIGH (8.0) Vector: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Severity: HIGH (7.7) Vector: AV:A/AC:L/Au:S/C:C/I:C/A:C
References:
Published: 2025-05-16
Modified: 2025-12-26

BDU:2025-05634

Уязвимость веб-интейрфеса универсальной системы мониторинга Zabbix, позволяющая нарушителю провести атаку межсайтового скриптинга

Severity: HIGH (7.5) Vector: AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Severity: HIGH (7.6) Vector: AV:N/AC:H/Au:N/C:C/I:C/A:C
References:
Published: 2025-05-16
Modified: 2025-12-26

BDU:2025-05635

Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю раскрыть защищаемую информацию

Severity: LOW (3.5) Vector: AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Severity: LOW (2.7) Vector: AV:A/AC:L/Au:S/C:P/I:N/A:N
References:
Published: 2025-06-20
Modified: 2025-12-26

BDU:2025-07164

Уязвимость сервера универсальной системы мониторинга Zabbix, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Severity: LOW (3.1) Vector: AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Severity: LOW (1.8) Vector: AV:A/AC:H/Au:N/C:P/I:N/A:N
References:
Published: 2025-09-24
Modified: 2025-10-14

BDU:2025-11596

Уязвимость универсальной системы мониторинга Zabbix, связана с неправильной нейтрализацией специальных элементов, используемых в команде SQL, позволяющая нарушителю выполнять произвольные SQL-запросы в базе данных

Severity: HIGH (8.1) Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Severity: HIGH (8.5) Vector: AV:N/AC:L/Au:S/C:N/I:C/A:C
References:
Published: 2025-09-24
Modified: 2025-10-14

BDU:2025-11597

Уязвимость универсальной системы мониторинга Zabbix, связана с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации

Severity: LOW (3.5) Vector: AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Severity: LOW (2.7) Vector: AV:A/AC:L/Au:S/C:P/I:N/A:N
References:
Published: 2025-10-10

BDU:2025-12723

Уязвимость компонента Zabbix Agent 2 системы мониторинга ИТ-инфраструктуры Zabbix, позволяющая нарушителю раскрыть защищаемую информацию

Severity: MEDIUM (4.2) Vector: AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
Severity: MEDIUM (4.3) Vector: AV:A/AC:H/Au:S/C:C/I:N/A:N
References:
Published: 2025-10-10
Modified: 2025-11-17

BDU:2025-12726

Уязвимость универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Severity: LOW (3.5) Vector: AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Severity: LOW (2.7) Vector: AV:A/AC:L/Au:S/C:P/I:N/A:N
References:
Published: 2025-11-07

BDU:2025-13818

Уязвимость универсальной системы мониторинга Zabbix, связанная с предоставлением конфиденциальной информации неавторизованному лицу, позволяющая нарушителю получить доступ к конфиденциальной информации

Severity: MEDIUM (4.9) Vector: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Severity: MEDIUM (6.1) Vector: AV:N/AC:L/Au:M/C:C/I:N/A:N
References:
Published: 2024-08-12
Modified: 2025-11-03

CVE-2024-22114

User with no permission to any of the Hosts can access and view host count & other statistics through System Information Widget in Global View Dashboard.

Severity: MEDIUM (4.3) Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
References:
Published: 2024-05-17
Modified: 2025-10-08

CVE-2024-22120

Zabbix server can perform command execution for configured scripts. After command is executed, audit entry is added to "Audit Log". Due to "clientip" field is not sanitized, it is possible to injection SQL into "clientip" and exploit time based blind SQL injection.

Severity: HIGH (8.8) Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
References:
Published: 2024-08-12
Modified: 2024-12-10

CVE-2024-22121

A non-admin user can change or remove important features within the Zabbix Agent application, thus impacting the integrity and availability of the application.

Severity: MEDIUM (6.1) Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
References:
Published: 2024-08-12
Modified: 2025-11-03

CVE-2024-22122

Zabbix allows to configure SMS notifications. AT command injection occurs on "Zabbix Server" because there is no validation of "Number" field on Web nor on Zabbix server side. Attacker can run test of SMS providing specially crafted phone number and execute additional AT commands on modem.

Severity: CRITICAL (9.1) Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
References:
Published: 2024-08-12
Modified: 2025-11-03

CVE-2024-22123

Setting SMS media allows to set GSM modem file. Later this file is used as Linux device. But due everything is a file for Linux, it is possible to set another file, e.g. log file and zabbix_server will try to communicate with it as modem. As a result, log file will be broken with AT commands and small part for log file content will be leaked to UI.

Severity: LOW (2.7) Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
References:
Published: 2024-08-12
Modified: 2025-11-03

CVE-2024-36460

The front-end audit log allows viewing of unprotected plaintext passwords, where the passwords are displayed in plain text.

Severity: HIGH (8.1) Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
References:
Published: 2024-08-12
Modified: 2025-11-03

CVE-2024-36461

Within Zabbix, users have the ability to directly modify memory pointers in the JavaScript engine.

Severity: HIGH (8.8) Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
References:
Published: 2025-04-02
Modified: 2025-10-08

CVE-2024-36465

A low privilege (regular) Zabbix user with API access can use SQL injection vulnerability in include/classes/api/CApiService.php to execute arbitrary SQL commands via the groupBy parameter.

Severity: HIGH (8.8) Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Severity: HIGH (8.6) Vector: CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2025-04-02
Modified: 2025-11-03

CVE-2024-36469

Execution time for an unsuccessful login differs when using a non-existing username compared to using an existing one.

Severity: LOW (3.1) Vector: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
Severity: LOW (2.3) Vector: CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2025-04-02
Modified: 2025-11-03

CVE-2024-42325

Zabbix API user.get returns all users that share common group with the calling user. This includes media and other information, such as login attempts, etc.

Severity: LOW (3.5) Vector: CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Severity: LOW (2.1) Vector: CVSS:4.0/AV:A/AC:L/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2024-11-27
Modified: 2025-11-03

CVE-2024-42332

The researcher is showing that due to the way the SNMP trap log is parsed, an attacker can craft an SNMP trap with additional lines of information and have forged data show in the Zabbix UI. This attack requires SNMP auth to be off and/or the attacker to know the community/auth details. The attack requires an SNMP item to be configured as text on the target host.

Severity: LOW (3.7) Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
References:
Published: 2025-04-02
Modified: 2025-11-03

CVE-2024-45699

The endpoint /zabbix.php?action=export.valuemaps suffers from a Cross-Site Scripting vulnerability via the backurl parameter. This is caused by the reflection of user-supplied data without appropriate HTML escaping or output encoding. As a result, a JavaScript payload may be injected into the above endpoint causing it to be executed within the context of the victim's browser.

Severity: MEDIUM (5.4) Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Severity: HIGH (7.5) Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2025-04-02
Modified: 2025-11-03

CVE-2024-45700

Zabbix server is vulnerable to a DoS vulnerability due to uncontrolled resource exhaustion. An attacker can send specially crafted requests to the server, which will cause the server to allocate an excessive amount of memory and perform CPU-intensive decompression operations, ultimately leading to a service crash.

Severity: MEDIUM (6.5) Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Severity: MEDIUM (6.0) Vector: CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2025-10-03
Modified: 2025-10-08

CVE-2025-27231

The LDAP 'Bind password' value cannot be read after saving, but a Super Admin account can leak it by changing LDAP 'Host' to a rogue LDAP server. To mitigate this, the 'Bind password' value is now reset on 'Host' change.

Severity: MEDIUM (4.9) Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
Severity: MEDIUM (4.3) Vector: CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2025-09-12
Modified: 2025-09-15

CVE-2025-27233

Zabbix Agent 2 smartctl plugin does not properly sanitize smart.disk.get parameters, allowing an attacker to inject unexpected arguments into the smartctl command. This can be used to leak the NTLMv2 hash from a Windows system.

Severity: MEDIUM (5.7) Vector: CVSS:4.0/AV:A/AC:H/AT:P/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2025-09-12
Modified: 2025-10-08

CVE-2025-27238

Due to a bug in Zabbix API, the hostprototype.get method lists all host prototypes to users that do not have any user groups assigned to them.

Severity: LOW (3.5) Vector: CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Severity: LOW (2.1) Vector: CVSS:4.0/AV:A/AC:L/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2025-09-12
Modified: 2025-10-08

CVE-2025-27240

A Zabbix adminitrator can inject arbitrary SQL during the autoremoval of hosts by inserting malicious SQL in the 'Visible name' field.

Severity: HIGH (7.2) Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Severity: HIGH (7.5) Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:
Published: 2025-10-03
Modified: 2025-10-08

CVE-2025-49641

A regular Zabbix user with no permission to the Monitoring -> Problems view is still able to call the problem.view.refresh action and therefore still retrieve a list of active problems.

Severity: MEDIUM (4.3) Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Severity: MEDIUM (5.1) Vector: CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References:

Closed bugs

Bug #51339

Не стартует zabbix-java-gateway с java-17-openjdk

VKontakte | Telegram | YouTube | Forum | GitHub | Bugzilla
Version: 2.1.2
Back to top