Administrator z ograniczonymi uprawnieniami może wykonać dowolny kod na serwerze Zabbix poprzez sekcję Monitoring Hosts, wykorzystując lukę w obsłudze parametrów skryptu Ping. Podatność umożliwia pełne przejęcie infrastruktury monitorowanej przez Zabbix.
▸ Pokaż oryginał (EN)
An administrator with restricted permissions can exploit the script execution functionality within the Monitoring Hosts section. The lack of default escaping for script parameters enabled this user ability to execute arbitrary code via the Ping script, thereby compromising infrastructure.
Funkcjonalność wykonywania skryptów w sekcji Monitoring Hosts nie stosuje domyślnego escapowania parametrów przekazywanych do skryptów. Zalogowany administrator z ograniczonymi uprawnieniami może zmodyfikować parametry skryptu Ping w taki sposób, aby wstrzyknąć i wykonać dowolne polecenia systemowe (command injection). Brak sanityzacji danych wejściowych pozwala na przekazanie złośliwego payload'u, który jest następnie interpretowany i uruchamiany przez system.
Atakujący może wykonać dowolny kod na serwerze Zabbix, co prowadzi do pełnego przejęcia systemu — utraty poufności, integralności i dostępności danych oraz całej monitorowanej infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Użytkownicy dystrybucji Debian powinni sprawdzić aktualizacje bezpieczeństwa ogłoszone na liście debian-lts-announce (październik 2024). Zaleca się również ograniczenie liczby kont z uprawnieniami administracyjnymi do niezbędnego minimum.
Zabbix — wersje wskazane w referencjach producenta (szczegóły: https://support.zabbix.com/browse/ZBX-25016)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HZabbix
APPZabbix7.0.06.4.9 – 6.4.15
Powiązane podatności
In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...
SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień
Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów
Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)
Zabbix Server — time-based blind SQL injection przez pole clientip