All errata/p10/ALT-PU-2024-18030-1
ALT-PU-2024-18030-1

Package update zabbix in branch p10

Version6.0.34-alt0.p10.1
Task#358496
Published2024-10-14
Max severityCRITICAL
Severity:

Closed issues (8)

BDU:2024-10774
CRITICAL9.1

Уязвимость сервера универсальной системы мониторинга Zabbix, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Published: 2025-05-06Modified: 2026-02-16
CVSS 3.xCRITICAL 9.1
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVSS 2.0CRITICAL 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
References
BDU:2024-10775
LOW2.7

Уязвимость функции str_base64_encode_rfc2047() сервера универсальной системы мониторинга Zabbix, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2024-12-05Modified: 2026-02-16
CVSS 3.xLOW 2.7
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0MEDIUM 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N
References
BDU:2025-00337
LOW2.2

Уязвимость сервера универсальной системы мониторинга Zabbix, связанная с недостаточной проверкой входных данных, позволяющая нарушителю повысить свои привилегии

Published: 2025-01-16Modified: 2026-02-16
CVSS 3.xLOW 2.2
CVSS:3.x/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:L
CVSS 2.0LOW 1.7
CVSS:2.0/AV:N/AC:H/Au:M/C:N/I:N/A:P
References
BDU:2025-11596
HIGH8.1

Уязвимость универсальной системы мониторинга Zabbix, связана с неправильной нейтрализацией специальных элементов, используемых в команде SQL, позволяющая нарушителю выполнять произвольные SQL-запросы в базе данных

Published: 2025-09-24Modified: 2026-02-16
CVSS 3.xHIGH 8.1
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
CVSS 2.0HIGH 8.5
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:C/A:C
References
CVE-2024-22117
LOW2.2

When a URL is added to the map element, it is recorded in the database with sequential IDs. Upon adding a new URL, the system retrieves the last sysmapelementurlid value and increments it by one. However, an issue arises when a user manually changes the sysmapelementurlid value by adding sysmapelementurlid + 1. This action prevents others from adding URLs to the map element.

Published: 2024-11-26Modified: 2025-10-08
CVSS 3.xLOW 2.2
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:N
References
CVE-2024-42330
CRITICAL9.1

The HttpRequest object allows to get the HTTP headers from the server's response after sending the request. The problem is that the returned strings are created directly from the data returned by the server and are not correctly encoded for JavaScript. This allows to create internal strings that can be used to access hidden properties of objects.

Published: 2024-11-27Modified: 2025-11-03
CVSS 3.xCRITICAL 9.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
References
CVE-2025-27240
HIGH7.5

A Zabbix adminitrator can inject arbitrary SQL during the autoremoval of hosts by inserting malicious SQL in the 'Visible name' field.

Published: 2025-09-12Modified: 2025-10-08
CVSS 3.xHIGH 7.2
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVSS 4.0HIGH 7.5
CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
References