ALT-PU-2025-16356-1

Серьёзность:

Закрытые проблемы (36)

BDU:2024-03942

CRITICAL9.1

Уязвимость сервера универсальной системы мониторинга Zabbix Workstation, связанная с ошибками при обработке входных данных, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2024-05-20Изменено: 2025-10-24

CVSS 3.xКРИТИЧЕСКАЯ 9.1

CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 9.0

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C

Ссылки

CVE-2024-22120

BDU:2024-06995

MEDIUM6.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с ненадлежащим сохранением разрешений, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2024-09-13Изменено: 2025-03-19

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

CVSS 2.0СРЕДНЯЯ 5.2

CVSS:2.0/AV:L/AC:L/Au:S/C:N/I:C/A:P

Ссылки

CVE-2024-22121

BDU:2024-07007

LOW3.0

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильной нейтрализацией специальных элементов, используемых в команде, позволяющая нарушителю выполнить дополнительные AT-команды на модеме

Опубликовано: 2024-09-13Изменено: 2026-03-16

CVSS 3.xНИЗКАЯ 3.0

CVSS:3.x/AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:L/A:N

CVSS 2.0НИЗКАЯ 1.7

CVSS:2.0/AV:N/AC:H/Au:M/C:N/I:P/A:N

Ссылки

CVE-2024-22122

BDU:2024-07008

HIGH8.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с хранением пароля в открытом виде, позволяющая нарушителю получить доступ к конфиденциальной информации

Опубликовано: 2024-09-13Изменено: 2026-02-16

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

CVSS 2.0ВЫСОКАЯ 8.5

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:N

Ссылки

CVE-2024-36460

BDU:2024-07009

LOW2.7

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2024-09-13Изменено: 2026-02-16

CVSS 3.xНИЗКАЯ 2.7

CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N

CVSS 2.0НИЗКАЯ 3.3

CVSS:2.0/AV:N/AC:L/Au:M/C:N/I:P/A:N

Ссылки

CVE-2024-22123

BDU:2024-07010

CRITICAL9.1

Уязвимость универсальной системы мониторинга Zabbix, связанная с разыменованием ненадежного указателя, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2024-09-13Изменено: 2026-02-16

CVSS 3.xКРИТИЧЕСКАЯ 9.1

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H

CVSS 2.0ВЫСОКАЯ 8.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:P/A:C

Ссылки

CVE-2024-36461

BDU:2024-10773

LOW3.7

Уязвимость демона snmptrapd универсальной системы мониторинга Zabbix, позволяющая нарушителю осуществить подмену пользовательского интерфейса

Опубликовано: 2025-05-06Изменено: 2026-02-16

CVSS 3.xНИЗКАЯ 3.7

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

CVSS 2.0НИЗКАЯ 2.6

CVSS:2.0/AV:N/AC:H/Au:N/C:N/I:P/A:N

Ссылки

CVE-2024-42332

BDU:2025-00959

MEDIUM4.3

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным сохранением разрешений, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-02-03Изменено: 2026-02-16

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2024-22114

BDU:2025-05632

MEDIUM6.5

Уязвимость сервера универсальной системы мониторинга Zabbix, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-05-16Изменено: 2026-02-16

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0СРЕДНЯЯ 6.1

CVSS:2.0/AV:A/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2024-45700

BDU:2025-05633

HIGH8.0

Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю выполнить произвольные команды

Опубликовано: 2025-05-16Изменено: 2025-12-26

CVSS 3.xВЫСОКАЯ 8.0

CVSS:3.x/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 7.7

CVSS:2.0/AV:A/AC:L/Au:S/C:C/I:C/A:C

Ссылки

CVE-2024-36465

BDU:2025-05634

HIGH7.5

Уязвимость веб-интейрфеса универсальной системы мониторинга Zabbix, позволяющая нарушителю провести атаку межсайтового скриптинга

Опубликовано: 2025-05-16Изменено: 2026-02-16

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 7.6

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:C

Ссылки

CVE-2024-45699

BDU:2025-05635

LOW3.5

Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2025-05-16Изменено: 2026-02-16

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0НИЗКАЯ 2.7

CVSS:2.0/AV:A/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2024-42325

BDU:2025-07164

LOW3.1

Уязвимость сервера универсальной системы мониторинга Zabbix, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-06-20Изменено: 2026-02-16

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0НИЗКАЯ 1.8

CVSS:2.0/AV:A/AC:H/Au:N/C:P/I:N/A:N

Ссылки

CVE-2024-36469

BDU:2025-11596

HIGH8.1

Уязвимость универсальной системы мониторинга Zabbix, связана с неправильной нейтрализацией специальных элементов, используемых в команде SQL, позволяющая нарушителю выполнять произвольные SQL-запросы в базе данных

Опубликовано: 2025-09-24Изменено: 2026-02-16

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

CVSS 2.0ВЫСОКАЯ 8.5

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:C/A:C

Ссылки

CVE-2025-27240

BDU:2025-11597

LOW3.5

Уязвимость универсальной системы мониторинга Zabbix, связана с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации

Опубликовано: 2025-09-24Изменено: 2025-10-14

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0НИЗКАЯ 2.7

CVSS:2.0/AV:A/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-27238

BDU:2025-12723

MEDIUM4.2

Уязвимость компонента Zabbix Agent 2 системы мониторинга ИТ-инфраструктуры Zabbix, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2025-10-10

CVSS 3.xСРЕДНЯЯ 4.2

CVSS:3.x/AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:A/AC:H/Au:S/C:C/I:N/A:N

Ссылки

CVE-2025-27233

BDU:2025-12726

LOW3.5

Уязвимость универсальной системы мониторинга Zabbix , связанная с ошибками авторизации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2025-10-10Изменено: 2026-03-11

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0НИЗКАЯ 2.7

CVSS:2.0/AV:A/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-49641

BDU:2025-13818

MEDIUM4.9

Уязвимость универсальной системы мониторинга Zabbix, связанная с предоставлением конфиденциальной информации неавторизованному лицу, позволяющая нарушителю получить доступ к конфиденциальной информации

Опубликовано: 2025-11-07

CVSS 3.xСРЕДНЯЯ 4.9

CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0СРЕДНЯЯ 6.1

CVSS:2.0/AV:N/AC:L/Au:M/C:C/I:N/A:N

Ссылки

CVE-2025-27231

CVE-2024-22114

MEDIUM4.3

User with no permission to any of the Hosts can access and view host count & other statistics through System Information Widget in Global View Dashboard.

Опубликовано: 2024-08-12Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2024-22120

HIGH8.8

Zabbix server can perform command execution for configured scripts. After command is executed, audit entry is added to "Audit Log". Due to "clientip" field is not sanitized, it is possible to injection SQL into "clientip" and exploit time based blind SQL injection.

Опубликовано: 2024-05-17Изменено: 2025-10-08

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2024-22121

MEDIUM6.1

A non-admin user can change or remove important features within the Zabbix Agent application, thus impacting the integrity and availability of the application.

Опубликовано: 2024-08-12Изменено: 2024-12-10

CVSS 3.xСРЕДНЯЯ 6.1

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

Ссылки

https://support.zabbix.com/browse/ZBX-25011

CVE-2024-22122

CRITICAL9.1

Zabbix allows to configure SMS notifications. AT command injection occurs on "Zabbix Server" because there is no validation of "Number" field on Web nor on Zabbix server side. Attacker can run test of SMS providing specially crafted phone number and execute additional AT commands on modem.

Опубликовано: 2024-08-12Изменено: 2025-11-03

CVSS 3.xКРИТИЧЕСКАЯ 9.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Ссылки

CVE-2024-22123

LOW2.7

Setting SMS media allows to set GSM modem file. Later this file is used as Linux device. But due everything is a file for Linux, it is possible to set another file, e.g. log file and zabbix_server will try to communicate with it as modem. As a result, log file will be broken with AT commands and small part for log file content will be leaked to UI.

Опубликовано: 2024-08-12Изменено: 2025-11-03

CVSS 3.xНИЗКАЯ 2.7

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N

Ссылки

CVE-2024-36460

HIGH8.1

The front-end audit log allows viewing of unprotected plaintext passwords, where the passwords are displayed in plain text.

Опубликовано: 2024-08-12Изменено: 2025-11-03

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Ссылки

CVE-2024-36461

HIGH8.8

Within Zabbix, users have the ability to directly modify memory pointers in the JavaScript engine.

Опубликовано: 2024-08-12Изменено: 2025-11-03

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2024-36465

HIGH8.6

A low privilege (regular) Zabbix user with API access can use SQL injection vulnerability in include/classes/api/CApiService.php to execute arbitrary SQL commands via the groupBy parameter.

Опубликовано: 2025-04-02Изменено: 2025-10-08

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS 4.0ВЫСОКАЯ 8.6

CVSS:4.0/CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

https://support.zabbix.com/browse/ZBX-26257

CVE-2024-36469

LOW2.3

Execution time for an unsuccessful login differs when using a non-existing username compared to using an existing one.

Опубликовано: 2025-04-02Изменено: 2025-11-03

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 4.0НИЗКАЯ 2.3

CVSS:4.0/CVSS:4.0/AV:A/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

CVE-2024-42325

LOW2.1

Zabbix API user.get returns all users that share common group with the calling user. This includes media and other information, such as login attempts, etc.

Опубликовано: 2025-04-02Изменено: 2025-11-03

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 4.0НИЗКАЯ 2.1

CVSS:4.0/CVSS:4.0/AV:A/AC:L/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

CVE-2024-42332

LOW3.7

The researcher is showing that due to the way the SNMP trap log is parsed, an attacker can craft an SNMP trap with additional lines of information and have forged data show in the Zabbix UI. This attack requires SNMP auth to be off and/or the attacker to know the community/auth details. The attack requires an SNMP item to be configured as text on the target host.

Опубликовано: 2024-11-27Изменено: 2025-11-03

CVSS 3.xНИЗКАЯ 3.7

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

Ссылки

CVE-2024-45699

HIGH7.5

The endpoint /zabbix.php?action=export.valuemaps suffers from a Cross-Site Scripting vulnerability via the backurl parameter. This is caused by the reflection of user-supplied data without appropriate HTML escaping or output encoding. As a result, a JavaScript payload may be injected into the above endpoint causing it to be executed within the context of the victim's browser.

Опубликовано: 2025-04-02Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVSS 4.0ВЫСОКАЯ 7.5

CVSS:4.0/CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

CVE-2024-45700

MEDIUM6.0

Zabbix server is vulnerable to a DoS vulnerability due to uncontrolled resource exhaustion. An attacker can send specially crafted requests to the server, which will cause the server to allocate an excessive amount of memory and perform CPU-intensive decompression operations, ultimately leading to a service crash.

Опубликовано: 2025-04-02Изменено: 2025-11-03

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 4.0СРЕДНЯЯ 6.0

CVSS:4.0/CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

CVE-2025-27231

MEDIUM4.3

The LDAP 'Bind password' value cannot be read after saving, but a Super Admin account can leak it by changing LDAP 'Host' to a rogue LDAP server. To mitigate this, the 'Bind password' value is now reset on 'Host' change.

Опубликовано: 2025-10-03Изменено: 2025-10-08

CVSS 3.xСРЕДНЯЯ 4.9

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

CVSS 4.0СРЕДНЯЯ 4.3

CVSS:4.0/CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

https://support.zabbix.com/browse/ZBX-27062

CVE-2025-27233

MEDIUM5.7

Zabbix Agent 2 smartctl plugin does not properly sanitize smart.disk.get parameters, allowing an attacker to inject unexpected arguments into the smartctl command. This can be used to leak the NTLMv2 hash from a Windows system.

Опубликовано: 2025-09-12Изменено: 2026-04-15

CVSS 4.0СРЕДНЯЯ 5.7

CVSS:4.0/CVSS:4.0/AV:A/AC:H/AT:P/PR:H/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

https://support.zabbix.com/browse/ZBX-26987

CVE-2025-27238

LOW2.1

Due to a bug in Zabbix API, the hostprototype.get method lists all host prototypes to users that do not have any user groups assigned to them.

Опубликовано: 2025-09-12Изменено: 2025-10-08

CVSS 3.xНИЗКАЯ 3.5

CVSS:3.x/CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 4.0НИЗКАЯ 2.1

CVSS:4.0/CVSS:4.0/AV:A/AC:L/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

https://support.zabbix.com/browse/ZBX-26988

CVE-2025-27240

HIGH7.5

A Zabbix adminitrator can inject arbitrary SQL during the autoremoval of hosts by inserting malicious SQL in the 'Visible name' field.

Опубликовано: 2025-09-12Изменено: 2025-10-08

CVSS 3.xВЫСОКАЯ 7.2

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVSS 4.0ВЫСОКАЯ 7.5

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

https://support.zabbix.com/browse/ZBX-26986

CVE-2025-49641

MEDIUM5.1

A regular Zabbix user with no permission to the Monitoring -> Problems view is still able to call the problem.view.refresh action and therefore still retrieve a list of active problems.

Опубликовано: 2025-10-03Изменено: 2025-10-08

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 4.0СРЕДНЯЯ 5.1

CVSS:4.0/CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Ссылки

https://support.zabbix.com/browse/ZBX-27063

Закрытые ошибки (1)

Ошибка #51339

Обновление пакета zabbix в ветке p10_e2k

Закрытые проблемы (36)

Уязвимость универсальной системы мониторинга Zabbix, связанная с ненадлежащим сохранением разрешений, позволяющая нарушителю повысить свои привилегии

Уязвимость универсальной системы мониторинга Zabbix, связанная с неправильным контролем генерации кода, позволяющая нарушителю выполнить произвольный код

Уязвимость универсальной системы мониторинга Zabbix, связанная с разыменованием ненадежного указателя, позволяющая нарушителю выполнить произвольный код

Уязвимость демона snmptrapd универсальной системы мониторинга Zabbix, позволяющая нарушителю осуществить подмену пользовательского интерфейса

Уязвимость сервера универсальной системы мониторинга Zabbix, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю выполнить произвольные команды

Уязвимость веб-интейрфеса универсальной системы мониторинга Zabbix, позволяющая нарушителю провести атаку межсайтового скриптинга

Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю раскрыть защищаемую информацию

Уязвимость сервера универсальной системы мониторинга Zabbix, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость универсальной системы мониторинга Zabbix, связана с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальной информации

Уязвимость компонента Zabbix Agent 2 системы мониторинга ИТ-инфраструктуры Zabbix, позволяющая нарушителю раскрыть защищаемую информацию

User with no permission to any of the Hosts can access and view host count & other statistics through System Information Widget in Global View Dashboard.

Zabbix server can perform command execution for configured scripts. After command is executed, audit entry is added to "Audit Log". Due to "clientip" field is not sanitized, it is possible to injection SQL into "clientip" and exploit time based blind SQL injection.

A non-admin user can change or remove important features within the Zabbix Agent application, thus impacting the integrity and availability of the application.

Zabbix allows to configure SMS notifications. AT command injection occurs on "Zabbix Server" because there is no validation of "Number" field on Web nor on Zabbix server side. Attacker can run test of SMS providing specially crafted phone number and execute additional AT commands on modem.

The front-end audit log allows viewing of unprotected plaintext passwords, where the passwords are displayed in plain text.

Within Zabbix, users have the ability to directly modify memory pointers in the JavaScript engine.

A low privilege (regular) Zabbix user with API access can use SQL injection vulnerability in include/classes/api/CApiService.php to execute arbitrary SQL commands via the groupBy parameter.

Execution time for an unsuccessful login differs when using a non-existing username compared to using an existing one.

Zabbix API user.get returns all users that share common group with the calling user. This includes media and other information, such as login attempts, etc.

The LDAP 'Bind password' value cannot be read after saving, but a Super Admin account can leak it by changing LDAP 'Host' to a rogue LDAP server. To mitigate this, the 'Bind password' value is now reset on 'Host' change.

Zabbix Agent 2 smartctl plugin does not properly sanitize smart.disk.get parameters, allowing an attacker to inject unexpected arguments into the smartctl command. This can be used to leak the NTLMv2 hash from a Windows system.

Due to a bug in Zabbix API, the hostprototype.get method lists all host prototypes to users that do not have any user groups assigned to them.

A Zabbix adminitrator can inject arbitrary SQL during the autoremoval of hosts by inserting malicious SQL in the 'Visible name' field.

A regular Zabbix user with no permission to the Monitoring -> Problems view is still able to call the problem.view.refresh action and therefore still retrieve a list of active problems.

Закрытые ошибки (1)

Не стартует zabbix-java-gateway с java-11-openjdk