CRITICAL🇬🇧 English

CVE-2024-42330

Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów

CVSS 9.1v3.1pub. 2024-11-27upd. 2025-11-03

Podatność w obiekcie HttpRequest w Zabbix pozwala na tworzenie wewnętrznych ciągów znaków z niezakodowanych danych zwróconych przez serwer. Umożliwia to atakującemu dostęp do ukrytych właściwości obiektów JavaScript, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Pokaż oryginał (EN)

The HttpRequest object allows to get the HTTP headers from the server's response after sending the request. The problem is that the returned strings are created directly from the data returned by the server and are not correctly encoded for JavaScript. This allows to create internal strings that can be used to access hidden properties of objects.

🤖 Analiza AI
Jak działa

Obiekt HttpRequest pobiera nagłówki HTTP z odpowiedzi serwera po wysłaniu żądania. Zwracane ciągi znaków są tworzone bezpośrednio z danych otrzymanych od serwera bez poprawnego kodowania dla kontekstu JavaScript (CWE-134 — format string). Dzięki temu możliwe jest tworzenie wewnętrznych ciągów, które mogą być użyte do uzyskania dostępu do ukrytych właściwości obiektów. Atakujący z uprawnieniami administracyjnymi może spreparować odpowiedź serwera zawierającą złośliwe dane w nagłówkach HTTP.

Skutki

Atakujący może uzyskać dostęp do ukrytych właściwości obiektów JavaScript w kontekście Zabbix, co w połączeniu z wysokim poziomem uprawnień wynikającym z zakresu podatności (Scope: Changed, C/I/A: High) może prowadzić do pełnego naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://support.zabbix.com/browse/ZBX-25626). Użytkownicy dystrybucji Debian LTS powinni zastosować aktualizacje opisane w ogłoszeniu debian-lts-announce z grudnia 2024.

Kogo dotyczy

Produkty Zabbix — wersje wskazane w referencjach producenta (zgłoszenie ZBX-25626); podatność dotyczy również pakietów Debian LTS zgodnie z ogłoszeniem debian-lts-announce.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Zabbix

    APP
    Zabbix
    5.0.0 – 5.4.6 (bez)6.0.0 – 6.0.34 (bez)6.4.0 – 6.4.19 (bez)7.0.0 – 7.0.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-23131CRITICAL9.1⚠ KEVten sam produkt

In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...

CVE-2024-42327CRITICAL9.9PL ✓ten sam produkt

SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień

CVE-2024-36461CRITICAL9.1PL ✓ten sam produkt

Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)

CVE-2024-22116CRITICAL9.9PL ✓ten sam produkt

Zabbix: RCE przez brak escapowania parametrów skryptu Ping

CVE-2024-22120CRITICAL9.1PL ✓ten sam produkt

Zabbix Server — time-based blind SQL injection przez pole clientip

CVE-2024-42330 — Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów — CRITICAL 9.1 | CVEbaza.pl