PT-2024-9177 · Zabbix Js+5 · Zabbix Js+5

Vjaceslavs Bogdanovs

·

Publicado

2024-05-28

·

Atualizado

2025-02-25

·

CVE-2024-36463

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas:
Versões do Zabbix anteriores à 7.0.2
Descrição:
O problema está relacionado à implementação da função atob no “Zabbix JS”, que permite a criação de uma string com conteúdo arbitrário para acessar propriedades internas de objetos. Isso pode potencialmente levar à exposição de dados. A vulnerabilidade está associada ao acesso a uma variável privada crítica por meio de um método público, o que pode ser explorado por um invasor remoto para comprometer a integridade das informações protegidas.
Recomendações:
Para versões anteriores à 7.0.2, atualize o Zabbix para uma versão mais recente a fim de mitigar o risco de exposição de dados. Como solução temporária, considere restringir o acesso ao método atob no “Zabbix JS” para minimizar o risco de exploração.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-767

Identificadores relacionados

ALT-PU-2024-16527
ALT-PU-2024-16638
ALT-PU-2025-3400
BDU:2024-10864
CVE-2024-36463
DLA-3909-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Red Os
Zabbix
Zabbix Js