All errata/p11/ALT-PU-2024-17947-1
ALT-PU-2024-17947-1

Package update zabbix in branch p11

Version7.0.0-alt1
Task#351127
Published2024-07-08
Max severityCRITICAL
Severity:

Closed issues (8)

BDU:2024-06995
MEDIUM6.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с ненадлежащим сохранением разрешений, позволяющая нарушителю повысить свои привилегии

Published: 2024-09-13Modified: 2025-03-19
CVSS 3.xMEDIUM 6.1
CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
CVSS 2.0MEDIUM 5.2
CVSS:2.0/AV:L/AC:L/Au:S/C:N/I:C/A:P
References
BDU:2024-07007
LOW3.0

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильной нейтрализацией специальных элементов, используемых в команде, позволяющая нарушителю выполнить дополнительные AT-команды на модеме

Published: 2024-09-13Modified: 2026-03-16
CVSS 3.xLOW 3.0
CVSS:3.x/AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:L/A:N
CVSS 2.0LOW 1.7
CVSS:2.0/AV:N/AC:H/Au:M/C:N/I:P/A:N
References
BDU:2024-07009
LOW2.7

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнить произвольный код

Published: 2024-09-13Modified: 2026-02-16
CVSS 3.xLOW 2.7
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
CVSS 2.0LOW 3.3
CVSS:2.0/AV:N/AC:L/Au:M/C:N/I:P/A:N
References
BDU:2025-00959
MEDIUM4.3

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным сохранением разрешений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Published: 2025-02-03Modified: 2026-02-16
CVSS 3.xMEDIUM 4.3
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0MEDIUM 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N
References
CVE-2024-22121
MEDIUM6.1

A non-admin user can change or remove important features within the Zabbix Agent application, thus impacting the integrity and availability of the application.

Published: 2024-08-12Modified: 2024-12-10
CVSS 3.xMEDIUM 6.1
CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
References
CVE-2024-22122
CRITICAL9.1

Zabbix allows to configure SMS notifications. AT command injection occurs on "Zabbix Server" because there is no validation of "Number" field on Web nor on Zabbix server side. Attacker can run test of SMS providing specially crafted phone number and execute additional AT commands on modem.

Published: 2024-08-12Modified: 2025-11-03
CVSS 3.xCRITICAL 9.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
References
CVE-2024-22123
LOW2.7

Setting SMS media allows to set GSM modem file. Later this file is used as Linux device. But due everything is a file for Linux, it is possible to set another file, e.g. log file and zabbix_server will try to communicate with it as modem. As a result, log file will be broken with AT commands and small part for log file content will be leaked to UI.

Published: 2024-08-12Modified: 2025-11-03
CVSS 3.xLOW 2.7
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
References