CVE-2016-10742
https://notcve.org/view.php?id=CVE-2016-10742
Zabbix before 2.2.21rc1, 3.x before 3.0.13rc1, 3.1.x and 3.2.x before 3.2.10rc1, and 3.3.x and 3.4.x before 3.4.4rc1 allows open redirect via the request parameter. Zabbix, en versiones anteriores a la 2.2.21rc1, versiones 3.x anteriores a la 3.0.13rc1, versiones 3.1.x y versiones 3.2.x anteriores a la 3.2.10rc1, y en versiones 3.3.x y 3.4.x anteriores a la 3.4.4rc1, permite la redirección abierta mediante el parámetro request. • https://lists.debian.org/debian-lts-announce/2019/03/msg00010.html https://lists.debian.org/debian-lts-announce/2020/11/msg00039.html https://support.zabbix.com/browse/ZBX-10272 https://support.zabbix.com/browse/ZBX-13133 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2017-2826
https://notcve.org/view.php?id=CVE-2017-2826
An information disclosure vulnerability exists in the iConfig proxy request of Zabbix server 2.4.X. A specially crafted iConfig proxy request can cause the Zabbix server to send the configuration information of any Zabbix proxy, resulting in information disclosure. An attacker can make requests from an active Zabbix proxy to trigger this vulnerability. Existe una vulnerabilidad de divulgación de información en la petición del proxy iConfig en las versiones 2.4.X del servidor Zabbix. Una petición del proxy iConfig especialmente manipulada puede hacer que el servidor Zabbix envíe la información de configuración de cualquier proxy de Zabbix, lo que resulta en una divulgación de información. • https://lists.debian.org/debian-lts-announce/2019/03/msg00010.html https://talosintelligence.com/vulnerability_reports/TALOS-2017-0327 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2014-3005
https://notcve.org/view.php?id=CVE-2014-3005
XML external entity (XXE) vulnerability in Zabbix 1.8.x before 1.8.21rc1, 2.0.x before 2.0.13rc1, 2.2.x before 2.2.5rc1, and 2.3.x before 2.3.2 allows remote attackers to read arbitrary files or potentially execute arbitrary code via a crafted DTD in an XML request. Vulnerabilidad XEE (XML External Entity) en Zabbix 1.8.x anteriores a 1.8.21rc1, 2.0.x anteriores a 2.0.13rc1, 2.2.x anteriores a 2.2.5rc1 y 2.3.x anteriores a 2.3.2 permite que los atacantes remotos lean archivos arbitrarios o puedan ejecutar código arbitrario mediante un DTD manipulado en una petición XML. • http://lists.fedoraproject.org/pipermail/package-announce/2014-June/134885.html http://lists.fedoraproject.org/pipermail/package-announce/2014-June/134909.html http://seclists.org/fulldisclosure/2014/Jun/87 http://www.securityfocus.com/bid/68075 https://bugzilla.redhat.com/show_bug.cgi?id=1110496 https://support.zabbix.com/browse/ZBX-8151 https://web.archive.org/web/20140622034155/http://www.pnigos.com:80/?p=273 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2017-2825
https://notcve.org/view.php?id=CVE-2017-2825
In the trapper functionality of Zabbix Server 2.4.x, specifically crafted trapper packets can pass database logic checks, resulting in database writes. An attacker can set up a Man-in-the-Middle server to alter trapper requests made between an active Zabbix proxy and Server to trigger this vulnerability. En la funcionalidad trapper de Zabbix Server 2.4.x, los paquetes trapper específicamente manipulados pueden pasar comprobaciones de lógica de base de datos, lo que resulta en escrituras en la base de datos. Un atacante puede establecer un servidor Man-in-the-Middle para alterar las peticiones trapper realizadas entre un proxy y un servidor Zabbix para desencadenar esta vulnerabilidad. • http://www.securityfocus.com/bid/98094 https://talosintelligence.com/vulnerability_reports/TALOS-2017-0326 https://www.debian.org/security/2017/dsa-3937 •
CVE-2017-2824
https://notcve.org/view.php?id=CVE-2017-2824
An exploitable code execution vulnerability exists in the trapper command functionality of Zabbix Server 2.4.X. A specially crafted set of packets can cause a command injection resulting in remote code execution. An attacker can make requests from an active Zabbix Proxy to trigger this vulnerability. Se presenta una vulnerabilidad de ejecución de código explotable en la funcionalidad trapper command de Zabbix Server versiones 2.4.X. Un conjunto de paquetes especialmente diseñado puede causar una inyección de comando resultando en la ejecución de código remota. • http://www.debian.org/security/2017/dsa-3937 http://www.securityfocus.com/bid/98083 https://talosintelligence.com/vulnerability_reports/TALOS-2017-0325 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •