An attacker who has the privilege to configure Zabbix items can use function icmpping() with additional malicious command inside it to execute arbitrary code on the current Zabbix server.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:HZabbix Server
APPZabbix7.0.04.0.0 – 4.0.495.0.0 – 5.0.386.0.0 – 6.0.226.4.0 – 6.4.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
Powiązane podatności
CVE-2023-32725CRITICAL9.6PL ✓ten sam produkt
Zabbix: wyciek sesyjnego cookie przez widget URL i raporty zaplanowane
CVE-2022-23131CRITICAL9.1⚠ KEVten sam vendor
In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...
CVE-2024-42330CRITICAL9.1PL ✓ten sam vendor
Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów
CVE-2024-42327CRITICAL9.9PL ✓ten sam vendor
SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień
CVE-2024-36461CRITICAL9.1PL ✓ten sam vendor
Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)