Осем уязвимости в сигурността на приложението за мониторинг на мрежова инфраструктура Zabbix са били открити и отстранени от създателите му. Препоръката ни е да ъпдейтнете до най-новата налична версия, защото част от тях са критични и позволяват включително кражба на пароли на потребителите ви. По-конкретно:
- Отдалечено изпълнение на код в ping скрипт (CVE-2024-22116);
- Пряк достъп до указатели в паметта в рамките на JS енджина с цел модификация (CVE-2024-36461);
- Одитн дневникът на показва пароли в обикновен текст (CVE-2024-36460);
- Неконтролируемо потребление на ресурси (CVE-2024-36462);
- Инсталаторът MSI на Zabbix Agent позволява на потребител без администраторски права да получи достъп до опцията за промяна на настройките чрез msiexec.exe (CVE-2024-22121);
- Уиджет за системна информация в таблото за управление Global View разкрива информация за хостове на потребители без разрешение (CVE-2024-22114);
- Четене на произволни файлове (arbitrary files) в Zabbix (CVE-2024-22123).
Пропуските са отстранени във версиите 5.0.43rc1, 6.0.31rc1, 6.4.16rc1 и 7.0.0rc3.
Свързани материали
-
-
-
-
-
