CRITICAL🇬🇧 English

CVE-2024-36461

Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)

CVSS 9.1v3.1pub. 2024-08-12upd. 2025-11-03

Podatność w platformie Zabbix umożliwia zalogowanym użytkownikom bezpośrednią modyfikację wskaźników pamięci w wbudowanym silniku JavaScript. Luka klasyfikowana jest jako krytyczna (CVSS 9.1) i może prowadzić do poważnych konsekwencji dla integralności, poufności oraz dostępności systemu.

Pokaż oryginał (EN)

Within Zabbix, users have the ability to directly modify memory pointers in the JavaScript engine.

🤖 Analiza AI
Jak działa

Zabbix udostępnia użytkownikom środowisko wykonania skryptów JavaScript (np. w preprocessing lub alertscripts). W wyniku niewystarczającej walidacji danych wejściowych użytkownik jest w stanie bezpośrednio manipulować wskaźnikami pamięci (ang. memory pointers) działającego silnika JavaScript. Zgodnie z klasyfikacją CWE-822 (Untrusted Pointer Dereference) dereferowanie niezaufanego wskaźnika może powodować nieprzewidywalne zachowanie procesu — od awarii po potencjalne wykonanie dowolnego kodu. Atak nie wymaga interakcji ofiary ani szczególnych uprawnień ponad podstawowy dostęp do systemu, a jego skutki wykraczają poza kontekst atakowanego komponentu (Scope: Changed).

Skutki

Atakujący może doprowadzić do niedostępności systemu monitorowania (DoS), a potencjalnie również do uzyskania nieautoryzowanego dostępu do danych lub wykonania arbitralnego kodu w kontekście procesu Zabbix. Zakres oddziaływania obejmuje poufność, integralność oraz dostępność chronionej infrastruktury.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawionych znajdują się pod adresem https://support.zabbix.com/browse/ZBX-25018. Użytkownicy dystrybucji Debian LTS powinni zaktualizować pakiety zgodnie z komunikatem opublikowanym na liście debian-lts-announce (październik 2024). Dodatkowo zaleca się ograniczenie uprawnień do tworzenia i edycji skryptów JavaScript wyłącznie do zaufanych użytkowników.

Kogo dotyczy

Produkty Zabbix (Zabbix Server / Zabbix Proxy / Zabbix Agent) — dokładne wersje wskazane w referencjach producenta (zgłoszenie ZBX-25018); podatność dotyczy również pakietów Zabbix dostępnych w Debian LTS.

Uwagi

Podatność została zgłoszona w trackerze Zabbix jako ZBX-25018. Informacja o poprawkach dla Debian LTS pochodzi z listy debian-lts-announce z października 2024.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H
  • Zabbix

    APP
    Zabbix
    7.0.06.0.0 – 6.0.306.4.0 – 6.4.15
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-23131CRITICAL9.1⚠ KEVten sam produkt

In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...

CVE-2024-42327CRITICAL9.9PL ✓ten sam produkt

SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień

CVE-2024-42330CRITICAL9.1PL ✓ten sam produkt

Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów

CVE-2024-22116CRITICAL9.9PL ✓ten sam produkt

Zabbix: RCE przez brak escapowania parametrów skryptu Ping

CVE-2024-22120CRITICAL9.1PL ✓ten sam produkt

Zabbix Server — time-based blind SQL injection przez pole clientip

CVE-2024-36461 — Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS) — CRITICAL 9.1 | CVEbaza.pl