Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
- Injection SQL (SQLi)
Systèmes affectés
- Zabbix versions 5.0.x antérieures à 5.0.46rc1
- Zabbix versions 6.0.x antérieures à 6.0.39rc1
- Zabbix versions 7.0.x antérieures à 7.0.10rc1
- Zabbix versions 7.2.x antérieures à 7.2.4rc1
Résumé
De multiples vulnérabilités ont été découvertes dans Zabbix. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une injection SQL (SQLi).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Zabbix ZBX-26253 du 01 avril 2025 https://support.zabbix.com/browse/ZBX-26253
- Bulletin de sécurité Zabbix ZBX-26254 du 01 avril 2025 https://support.zabbix.com/browse/ZBX-26254
- Bulletin de sécurité Zabbix ZBX-26255 du 01 avril 2025 https://support.zabbix.com/browse/ZBX-26255
- Bulletin de sécurité Zabbix ZBX-26257 du 01 avril 2025 https://support.zabbix.com/browse/ZBX-26257
- Bulletin de sécurité Zabbix ZBX-26258 du 01 avril 2025 https://support.zabbix.com/browse/ZBX-26258
- Référence CVE CVE-2024-36465 https://www.cve.org/CVERecord?id=CVE-2024-36465
- Référence CVE CVE-2024-36469 https://www.cve.org/CVERecord?id=CVE-2024-36469
- Référence CVE CVE-2024-42325 https://www.cve.org/CVERecord?id=CVE-2024-42325
- Référence CVE CVE-2024-45699 https://www.cve.org/CVERecord?id=CVE-2024-45699
- Référence CVE CVE-2024-45700 https://www.cve.org/CVERecord?id=CVE-2024-45700