All errata/p11/ALT-PU-2024-10784-3
ALT-PU-2024-10784-3

Package update zabbix in branch p11

Version7.0.2-alt2
Task#354432
Published2026-02-04
Max severityCRITICAL
Severity:

Closed issues (12)

BDU:2024-06996
HIGH7.5

Уязвимость универсальной системы мониторинга Zabbix, связанная с распределением ресурсов без ограничений и регулирования, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2024-09-13Modified: 2024-10-08
CVSS 3.xHIGH 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0HIGH 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
References
BDU:2024-07008
HIGH8.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с хранением пароля в открытом виде, позволяющая нарушителю получить доступ к конфиденциальной информации

Published: 2024-09-13Modified: 2026-02-16
CVSS 3.xHIGH 8.1
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
CVSS 2.0HIGH 8.5
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:N
References
BDU:2024-07010
CRITICAL9.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с разыменованием ненадежного указателя, позволяющая нарушителю выполнить произвольный код

Published: 2024-09-13Modified: 2026-02-16
CVSS 3.xCRITICAL 9.1
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H
CVSS 2.0HIGH 8.0
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:P/A:C
References
BDU:2024-10543
CRITICAL9.9

Уязвимость функции addRelatedObjects универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии

Published: 2024-12-02Modified: 2026-02-16
CVSS 3.xCRITICAL 9.9
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CVSS 2.0CRITICAL 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
References
BDU:2024-10777
HIGH7.5

Уязвимость интерфейса универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии

Published: 2024-12-05Modified: 2026-02-16
CVSS 3.xHIGH 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVSS 2.0HIGH 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N
References
BDU:2024-10866
HIGH8.8

Уязвимость механизма аутентификации Single sign-on (SSO) универсальной системы мониторинга Zabbix, позволяющая нарушителю обойти существующие ограничения безопасности и повысить свои привилегии

Published: 2024-12-06Modified: 2026-02-16
CVSS 3.xHIGH 8.8
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0CRITICAL 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
References
CVE-2024-36462
HIGH7.5

Uncontrolled resource consumption refers to a software vulnerability where a attacker or system uses excessive resources, such as CPU, memory, or network bandwidth, without proper limitations or controls. This can cause a denial-of-service (DoS) attack or degrade the performance of the affected system.

Published: 2024-08-12Modified: 2024-12-10
CVSS 3.xHIGH 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
References
CVE-2024-36466
HIGH8.8

A bug in the code allows an attacker to sign a forged zbx_session cookie, which then allows them to sign in with admin permissions.

Published: 2024-11-28Modified: 2025-10-08
CVSS 3.xHIGH 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
References
CVE-2024-36467
HIGH8.8

An authenticated user with API access (e.g.: user with default User role), more specifically a user with access to the user.update API endpoint is enough to be able to add themselves to any group (e.g.: Zabbix Administrators), except to groups that are disabled or having restricted GUI access.

Published: 2024-11-27Modified: 2025-10-08
CVSS 3.xHIGH 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
References
CVE-2024-42327
CRITICAL9.9

A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.

Published: 2024-11-27Modified: 2025-10-08
CVSS 3.xCRITICAL 9.9
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
References

Closed bugs (1)

Bug #50854

Не хватает зависимостей php-*