Все бюллетени/c10f2/ALT-PU-2024-11013-4
ALT-PU-2024-11013-4

Обновление пакета zabbix в ветке c10f2

Версия7.0.2-alt0.c10f2.1
Задание#354768
Опубликовано2026-02-04
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (20)

BDU:2024-06995
MEDIUM6.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с ненадлежащим сохранением разрешений, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2024-09-13Изменено: 2025-03-19
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
CVSS 2.0СРЕДНЯЯ 5.2
CVSS:2.0/AV:L/AC:L/Au:S/C:N/I:C/A:P
Ссылки
BDU:2024-07007
LOW3.0

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильной нейтрализацией специальных элементов, используемых в команде, позволяющая нарушителю выполнить дополнительные AT-команды на модеме

Опубликовано: 2024-09-13Изменено: 2026-03-16
CVSS 3.xНИЗКАЯ 3.0
CVSS:3.x/AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:L/A:N
CVSS 2.0НИЗКАЯ 1.7
CVSS:2.0/AV:N/AC:H/Au:M/C:N/I:P/A:N
Ссылки
BDU:2024-07008
HIGH8.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с хранением пароля в открытом виде, позволяющая нарушителю получить доступ к конфиденциальной информации

Опубликовано: 2024-09-13Изменено: 2026-02-16
CVSS 3.xВЫСОКАЯ 8.1
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
CVSS 2.0ВЫСОКАЯ 8.5
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:N
Ссылки
BDU:2024-07009
LOW2.7

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2024-09-13Изменено: 2026-02-16
CVSS 3.xНИЗКАЯ 2.7
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
CVSS 2.0НИЗКАЯ 3.3
CVSS:2.0/AV:N/AC:L/Au:M/C:N/I:P/A:N
Ссылки
BDU:2024-07010
CRITICAL9.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с разыменованием ненадежного указателя, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2024-09-13Изменено: 2026-02-16
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H
CVSS 2.0ВЫСОКАЯ 8.0
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:P/A:C
Ссылки
BDU:2024-10543
CRITICAL9.9

Уязвимость функции addRelatedObjects универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2024-12-02Изменено: 2026-02-16
CVSS 3.xКРИТИЧЕСКАЯ 9.9
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
Ссылки
BDU:2024-10777
HIGH7.5

Уязвимость интерфейса универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2024-12-05Изменено: 2026-02-16
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:N/A:N
Ссылки
BDU:2024-10866
HIGH8.8

Уязвимость механизма аутентификации Single sign-on (SSO) универсальной системы мониторинга Zabbix, позволяющая нарушителю обойти существующие ограничения безопасности и повысить свои привилегии

Опубликовано: 2024-12-06Изменено: 2026-02-16
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
Ссылки
BDU:2025-00959
MEDIUM4.3

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным сохранением разрешений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-02-03Изменено: 2026-02-16
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N
Ссылки
BDU:2025-15228
LOW2.7

Уязвимость системы мониторинга ИТ-инфраструктуры Zabbix, связанная с хранением пароля в незашифрованном виде, позволяющая нарушителю получить доступ к защищаемой информации

Опубликовано: 2025-12-05Изменено: 2026-03-04
CVSS 3.xНИЗКАЯ 2.7
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0НИЗКАЯ 3.3
CVSS:2.0/AV:N/AC:L/Au:M/C:P/I:N/A:N
Ссылки
CVE-2024-22121
MEDIUM6.1

A non-admin user can change or remove important features within the Zabbix Agent application, thus impacting the integrity and availability of the application.

Опубликовано: 2024-08-12Изменено: 2024-12-10
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
Ссылки
CVE-2024-22122
CRITICAL9.1

Zabbix allows to configure SMS notifications. AT command injection occurs on "Zabbix Server" because there is no validation of "Number" field on Web nor on Zabbix server side. Attacker can run test of SMS providing specially crafted phone number and execute additional AT commands on modem.

Опубликовано: 2024-08-12Изменено: 2025-11-03
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Ссылки
CVE-2024-22123
LOW2.7

Setting SMS media allows to set GSM modem file. Later this file is used as Linux device. But due everything is a file for Linux, it is possible to set another file, e.g. log file and zabbix_server will try to communicate with it as modem. As a result, log file will be broken with AT commands and small part for log file content will be leaked to UI.

Опубликовано: 2024-08-12Изменено: 2025-11-03
CVSS 3.xНИЗКАЯ 2.7
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
Ссылки
CVE-2024-36464
LOW2.7

When exporting media types, the password is exported in the YAML in plain text. This appears to be a best practices type issue and may have no actual impact. The user would need to have permissions to access the media types and therefore would be expected to have access to these passwords.

Опубликовано: 2024-11-27Изменено: 2025-11-03
CVSS 3.xНИЗКАЯ 2.7
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2024-36466
HIGH8.8

A bug in the code allows an attacker to sign a forged zbx_session cookie, which then allows them to sign in with admin permissions.

Опубликовано: 2024-11-28Изменено: 2025-10-08
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки
CVE-2024-36467
HIGH8.8

An authenticated user with API access (e.g.: user with default User role), more specifically a user with access to the user.update API endpoint is enough to be able to add themselves to any group (e.g.: Zabbix Administrators), except to groups that are disabled or having restricted GUI access.

Опубликовано: 2024-11-27Изменено: 2025-10-08
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки
CVE-2024-42327
CRITICAL9.9

A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.

Опубликовано: 2024-11-27Изменено: 2025-10-08
CVSS 3.xКРИТИЧЕСКАЯ 9.9
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Ссылки

Закрытые ошибки (1)