PT-2024-5538 · Zabbix+3 · Zabbix+3
Justonezero
+2
·
Publicado
2024-08-09
·
Atualizado
2026-01-22
·
CVE-2024-22116
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Zabbix 6.4.0 a 6.4.15
Versões do Zabbix 7.0.0alpha1 a 7.0.0rc2
Descrição
O problema está relacionado à falta de escapamento padrão para parâmetros de script na seção “Monitoring Hosts” do Zabbix, permitindo que um administrador com permissões restritas execute código arbitrário por meio do script Ping. Isso pode levar ao comprometimento da infraestrutura. Mais de 87.000 resultados foram identificados como potencialmente afetados, distribuídos principalmente no Brasil, nos Estados Unidos e em outros países.
Recomendações
Para as versões do Zabbix 6.4.0 a 6.4.15, atualize para a versão 6.4.16rc1 ou posterior.
Para as versões do Zabbix 7.0.0alpha1 a 7.0.0rc2, atualize para a versão 7.0.0rc3 ou posterior.
Como solução temporária, considere desativar a funcionalidade de execução de scripts na seção “Monitoring Hosts” até que um patch esteja disponível.
Restrinja o acesso à seção “Monitoring Hosts” para minimizar o risco de exploração.
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Red Os
Zabbix