Куда я попал?
CVE-2024-42327
PUBLISHED
04.12.2024
CNA: Zabbix
SQL injection in user.get API
Обновлено:
27.11.2024
A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-89 | Некорректная нейтрализация специальных элементов, используемых в SQL-командах (внедрение SQL-кода) |
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2024-10543 | Уязвимость функции addRelatedObjects универсальной системы мониторинга Zabbix, позволяющая нарушителю повысить свои привилегии |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20241213-26 | 13.12.2024 | Выполнение произвольного кода в Zabbix API |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 9.9 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Доп. Информация
Product Status
| Zabbix | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Product: | Zabbix | ||||||||
| Vendor: | Zabbix | ||||||||
| Default status: | unaffected | ||||||||
| Версии: |
|
||||||||
Ссылки
CISA ADP Vulnrichment
Обновлено:
04.12.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| none | no | total | 2.0.3 | 03.12.2024 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.