An attacker who has the privilege to configure Zabbix items can use function icmpping() with additional malicious command inside it to execute arbitrary code on the current Zabbix server.
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:HZabbix Server
APPZabbix7.0.04.0.0 – 4.0.495.0.0 – 5.0.386.0.0 – 6.0.226.4.0 – 6.4.7
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
RCE
Related vulnerabilities
CVE-2023-32725CRITICAL9.6PL ✓ten sam produkt
Zabbix: wyciek sesyjnego cookie przez widget URL i raporty zaplanowane
CVE-2022-23131CRITICAL9.1⚠ KEVten sam vendor
In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...
CVE-2024-42330CRITICAL9.1PL ✓ten sam vendor
Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów
CVE-2024-42327CRITICAL9.9PL ✓ten sam vendor
SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień
CVE-2024-36461CRITICAL9.1PL ✓ten sam vendor
Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)