csaf_certbund - wid-sec-w-2024-1192

wid-sec-w-2024-1192

Vulnerability from csaf_certbund

Published

2024-05-20 22:00

Modified

2024-05-20 22:00

Summary

Zabbix: Schwachstelle ermöglicht Codeausführung

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Zabbix ist ein Open-Source Netzwerk-Monitoringsystem.

Angriff

Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Zabbix ausnutzen, um beliebigen Programmcode auszuführen.

Betroffene Betriebssysteme

- Linux

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Zabbix ist ein Open-Source Netzwerk-Monitoringsystem.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Zabbix ausnutzen, um beliebigen Programmcode auszuf\u00fchren.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2024-1192 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1192.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2024-1192 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1192"
      },
      {
        "category": "external",
        "summary": "ZABBIX BUGS AND ISSUES ZBX-24505 vom 2024-05-20",
        "url": "https://support.zabbix.com/browse/ZBX-24505"
      }
    ],
    "source_lang": "en-US",
    "title": "Zabbix: Schwachstelle erm\u00f6glicht Codeausf\u00fchrung",
    "tracking": {
      "current_release_date": "2024-05-20T22:00:00.000+00:00",
      "generator": {
        "date": "2024-05-21T10:36:02.176+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.0"
        }
      },
      "id": "WID-SEC-W-2024-1192",
      "initial_release_date": "2024-05-20T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2024-05-20T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c6.0.28rc1",
                "product": {
                  "name": "Zabbix Zabbix \u003c6.0.28rc1",
                  "product_id": "T034909",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:zabbix:zabbix:6.0.28rc1"
                  }
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c6.4.13rc1",
                "product": {
                  "name": "Zabbix Zabbix \u003c6.4.13rc1",
                  "product_id": "T034910",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:zabbix:zabbix:6.4.13rc1"
                  }
                }
              },
              {
                "category": "product_version_range",
                "name": "\u003c7.0.0beta2",
                "product": {
                  "name": "Zabbix Zabbix \u003c7.0.0beta2",
                  "product_id": "T034911",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:zabbix:zabbix:7.0.0beta2"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Zabbix"
          }
        ],
        "category": "vendor",
        "name": "Zabbix"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-22120",
      "notes": [
        {
          "category": "description",
          "text": "Es besteht eine Schwachstelle in Zabbix. Dieser Fehler besteht in der Komponente Audit Log aufgrund einer unsachgem\u00e4\u00dfen Bereinigung von Benutzereingaben im Feld \u201eclientip\u201c, was zu einer zeitbasierten blinden SQL-Injection f\u00fchrt. Ein entfernter, authentifizierter Angreifer kann diese Schwachstelle zur Ausf\u00fchrung von beliebigem Code ausnutzen."
        }
      ],
      "release_date": "2024-05-20T22:00:00Z",
      "title": "CVE-2024-22120"
    }
  ]
}

cve-2024-22120

Vulnerability from cvelistv5

Published

2024-05-17 09:53

Modified

2024-08-01 22:35

Severity ?

9.1 (Critical) - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Summary

Time Based SQL Injection in Zabbix Server Audit Log

References

▼	URL	Tags
	https://support.zabbix.com/browse/ZBX-24505

Impacted products

▼	Vendor	Product
	Zabbix	Zabbix

Show details on NVD website