PT-2024-10113 · Zabbix+5 · Zabbix+5

Vjaceslavs Bogdanovs

·

Publicado

2024-10-03

·

Atualizado

2025-08-11

·

CVE-2024-22117

CVSS v3.1

2.2

Baixa

VetorAV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do Zabbix anteriores à 7.0.3
Descrição
O problema está relacionado à validação insuficiente de entradas no sistema de monitoramento universal do Zabbix. Isso pode permitir que um invasor remoto eleve seus privilégios. Quando uma URL é adicionada ao elemento de mapa, ela é registrada no banco de dados com IDs sequenciais. No entanto, se um usuário alterar manualmente o valor de sysmapelementurlid, isso pode impedir que outros adicionem URLs ao elemento de mapa.
Recomendações
Para versões do Zabbix anteriores à 7.0.3, atualize o sistema para uma versão que contenha a correção para este problema a fim de mitigar o risco. Como solução alternativa temporária, considere restringir o acesso ao valor sysmapelementurlid para impedir alterações manuais. Evite usar o valor sysmapelementurlid de forma que permita que um invasor o manipule e eleve seus privilégios.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2024-16527
ALT-PU-2024-16638
ALT-PU-2025-3400
BDU:2025-00337
CVE-2024-22117
DLA-3909-1
SUSE-SU-2025:02746-1
SUSE-SU-2025_02746-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Red Os
Suse
Zabbix