Podatność w platformie Zabbix umożliwia zalogowanym użytkownikom bezpośrednią modyfikację wskaźników pamięci w wbudowanym silniku JavaScript. Luka klasyfikowana jest jako krytyczna (CVSS 9.1) i może prowadzić do poważnych konsekwencji dla integralności, poufności oraz dostępności systemu.
▸ Pokaż oryginał (EN)
Within Zabbix, users have the ability to directly modify memory pointers in the JavaScript engine.
Zabbix udostępnia użytkownikom środowisko wykonania skryptów JavaScript (np. w preprocessing lub alertscripts). W wyniku niewystarczającej walidacji danych wejściowych użytkownik jest w stanie bezpośrednio manipulować wskaźnikami pamięci (ang. memory pointers) działającego silnika JavaScript. Zgodnie z klasyfikacją CWE-822 (Untrusted Pointer Dereference) dereferowanie niezaufanego wskaźnika może powodować nieprzewidywalne zachowanie procesu — od awarii po potencjalne wykonanie dowolnego kodu. Atak nie wymaga interakcji ofiary ani szczególnych uprawnień ponad podstawowy dostęp do systemu, a jego skutki wykraczają poza kontekst atakowanego komponentu (Scope: Changed).
Atakujący może doprowadzić do niedostępności systemu monitorowania (DoS), a potencjalnie również do uzyskania nieautoryzowanego dostępu do danych lub wykonania arbitralnego kodu w kontekście procesu Zabbix. Zakres oddziaływania obejmuje poufność, integralność oraz dostępność chronionej infrastruktury.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawionych znajdują się pod adresem https://support.zabbix.com/browse/ZBX-25018. Użytkownicy dystrybucji Debian LTS powinni zaktualizować pakiety zgodnie z komunikatem opublikowanym na liście debian-lts-announce (październik 2024). Dodatkowo zaleca się ograniczenie uprawnień do tworzenia i edycji skryptów JavaScript wyłącznie do zaufanych użytkowników.
Produkty Zabbix (Zabbix Server / Zabbix Proxy / Zabbix Agent) — dokładne wersje wskazane w referencjach producenta (zgłoszenie ZBX-25018); podatność dotyczy również pakietów Zabbix dostępnych w Debian LTS.
Podatność została zgłoszona w trackerze Zabbix jako ZBX-25018. Informacja o poprawkach dla Debian LTS pochodzi z listy debian-lts-announce z października 2024.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:HZabbix
APPZabbix7.0.06.0.0 – 6.0.306.4.0 – 6.4.15
Powiązane podatności
In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...
SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień
Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów
Zabbix: RCE przez brak escapowania parametrów skryptu Ping
Zabbix Server — time-based blind SQL injection przez pole clientip