Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
CVE-2024-42327: Puntuación CVSS 9.9.
Posible escalada de privilegios utilizando inyección SQL en la API user.get, ya que una cuenta de usuario que no sea administrador en la interfaz de Zabbix con el rol de usuario predeterminado o con cualquier otro rol que proporcione acceso a la API puede aprovechar esta vulnerabilidad. Existe una SQLi en la clase CUser en la función addRelatedObjects; esta función se llama desde la función CUser.get, que está disponible para todos los usuarios que tienen acceso a la API.
CVE-2024-42330: Puntuación CVSS 9.1.
Posible ejecución de código arbitrario y la denegación de servicio, ya que el objeto HttpRequest permite obtener los encabezados HTTP de la respuesta del servidor después de enviar la solicitud. El problema es que las cadenas devueltas se crean directamente a partir de los datos devueltos por el servidor y no están codificadas correctamente para JavaScript. Esto permite crear cadenas internas que se pueden usar para acceder a propiedades ocultas de los objetos.
Recursos afectados
CVE-2024-42327: componente API
Zabbix 6.0.X – Versiones 6.0.0 a 6.0.31
Zabbix 6.4.X – Versiones 6.4.0 a 6.4.16
Zabbix 7.0.X – Versión 7.0.0
CVE-2024-42330: Componente servidor
Zabbix 6.0.X – Versiones 6.0.0 a 6.0.33
Zabbix 6.4.X – Versiones 6.4.0 a 6.4.18
Zabbix 7.0.X – Versiones 7.0.0 a 7.0.3
Solución
Actualizar los productos afectados a la última versión disponible desde la web oficial de Zabbix.
Recomendaciones
-
Realizar la actualización de inmediato para mitigar las vulnerabilidades.
-
Monitorear el tráfico de red y registros para detectar posibles accesos no autorizados.
Referencias