Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02409

Опубликовано: 18 дек. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента smart.disk.get универсальной системы мониторинга Zabbix связана с внедрением вредоносного кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
Zabbix LLC.

Наименование ПО

РЕД ОС
Astra Linux Special Edition
Альт 8 СП
АЛЬТ СП 10
Zabbix

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
4.7 (Astra Linux Special Edition)
- (АЛЬТ СП 10)
7.0.0 alpha1 (Zabbix)
7.0.0 alpha2 (Zabbix)
7.0.0 alpha3 (Zabbix)
от 5.0.0 до 5.0.38 включительно (Zabbix)
7.0.0 alpha6 (Zabbix)
7.0.0 alpha7 (Zabbix)
от 6.0.0 до 6.0.23 включительно (Zabbix)
от 6.4.0 до 6.4.8 включительно (Zabbix)

Тип ПО

Операционная система
Программное средство защиты

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для zabbix:
https://support.zabbix.com/browse/ZBX-23858
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП и Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет zabbix до 1:6.0.29+dfsg-1+ci202405271621+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет zabbix до 1:6.0.29+dfsg-1+ci202405271621+astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.00527
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-32728

CVSS3: 4.6
ubuntu
больше 1 года назад

The Zabbix Agent 2 item key smart.disk.get does not sanitize its parameters before passing them to a shell command resulting possible vulnerability for remote code execution.

nvd логотип

CVE-2023-32728

CVSS3: 4.6
nvd
больше 1 года назад

The Zabbix Agent 2 item key smart.disk.get does not sanitize its parameters before passing them to a shell command resulting possible vulnerability for remote code execution.

debian логотип

CVE-2023-32728

CVSS3: 4.6
debian
больше 1 года назад

The Zabbix Agent 2 item key smart.disk.get does not sanitize its param ...

github логотип

GHSA-c26q-v9gv-jx6m

CVSS3: 9.8
github
больше 1 года назад

The Zabbix Agent 2 item key smart.disk.get does not sanitize its parameters before passing them to a shell command resulting possible vulnerability for remote code execution.

redos логотип

ROS-20240328-05

CVSS3: 9.8
redos
около 1 года назад

Множественные уязвимости zabbix

EPSS

Процентиль: 66%
0.00527
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2