CVSS: 7.5EPSS: 0%CPEs: 57EXPL: 0CVE-2014-9450
https://notcve.org/view.php?id=CVE-2014-9450
Multiple SQL injection vulnerabilities in chart_bar.php in the frontend in Zabbix before 1.8.22, 2.0.x before 2.0.14, and 2.2.x before 2.2.8 allow remote attackers to execute arbitrary SQL commands via the (1) itemid or (2) periods parameter. Múltiples vulnerabilidades de inyección SQL en chart_bar.php en el frontend en Zabbix anterior a 1.8.22, 2.0.x anterior a 2.0.14, y 2.2.x anterior a 2.2.8 permiten a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro (1) itemid o (2) periods. • http://secunia.com/advisories/61554 http://www.zabbix.com/rn1.8.22.php http://www.zabbix.com/rn2.0.14.php http://www.zabbix.com/rn2.2.8.php https://support.zabbix.com/browse/ZBX-8582 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 5.5EPSS: 0%CPEs: 46EXPL: 0CVE-2014-1685
https://notcve.org/view.php?id=CVE-2014-1685
The Frontend in Zabbix before 1.8.20rc2, 2.0.x before 2.0.11rc2, and 2.2.x before 2.2.2rc1 allows remote "Zabbix Admin" users to modify the media of arbitrary users via unspecified vectors. Frontend en Zabbix anterior a 1.8.20rc2, 2.0.x anterior a 2.0.11rc2 y 2.2.x anterior a 2.2.2rc1 permite a usuarios remotos 'de administración de Zabbix' modificar los medios de usuarios arbitrarios a través de vectores no especificados. • http://lists.fedoraproject.org/pipermail/package-announce/2014-May/132376.html http://lists.fedoraproject.org/pipermail/package-announce/2014-May/132377.html https://support.zabbix.com/browse/ZBX-7693 •
CVSS: 4.0EPSS: 0%CPEs: 46EXPL: 0CVE-2014-1682
https://notcve.org/view.php?id=CVE-2014-1682
The API in Zabbix before 1.8.20rc1, 2.0.x before 2.0.11rc1, and 2.2.x before 2.2.2rc1 allows remote authenticated users to spoof arbitrary users via the user name in a user.login request. La API en Zabbix anterior a 1.8.20rc1, 2.0.x anterior a 2.0.11rc1 y 2.2.x anterior a 2.2.2rc1 permite a usuarios remotos autenticados falsificar usuarios arbitrarios a través del nombre de usuario en una solicitud user.login. • http://lists.fedoraproject.org/pipermail/package-announce/2014-May/132376.html http://lists.fedoraproject.org/pipermail/package-announce/2014-May/132377.html http://www.securityfocus.com/bid/65402 https://support.zabbix.com/browse/ZBX-7703 • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 1CVE-2013-6824
https://notcve.org/view.php?id=CVE-2013-6824
Zabbix before 1.8.19rc1, 2.0 before 2.0.10rc1, and 2.2 before 2.2.1rc1 allows remote Zabbix servers and proxies to execute arbitrary commands via a newline in a flexible user parameter. Zabbix anteriores a 1.8.19rc1, 2.0 anteriores a 2.0.10rc1 y 2.2 anteriores a 2.2.1rc1 permite a servidores y proxies Zabbix remotos ejectar comandos de forma arbitraria a través de una newline con unos parámetros de usuarios flexibles. • http://security.gentoo.org/glsa/glsa-201401-26.xml http://www.zabbix.com/rn1.8.19rc1.php http://www.zabbix.com/rn2.0.10rc1.php http://www.zabbix.com/rn2.2.1rc1.php https://support.zabbix.com/browse/ZBX-7479 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.0EPSS: 0%CPEs: 6EXPL: 0CVE-2013-1364
https://notcve.org/view.php?id=CVE-2013-1364
The user.login function in Zabbix before 1.8.16 and 2.x before 2.0.5rc1 allows remote attackers to override LDAP configuration via the cnf parameter. La función user.login en Zabbix anteriores a 1.8.16 y 2.x (anteriores a 2.0.5rc1) permite a atacantes remotos sobreescribir configuraciones LDAP a través del parámetro cnf. • http://secunia.com/advisories/55824 http://security.gentoo.org/glsa/glsa-201311-15.xml http://www.securityfocus.com/bid/57471 http://www.zabbix.com/rn1.8.16.php http://www.zabbix.com/rn2.0.5rc1.php https://support.zabbix.com/browse/ZBX-6097 • CWE-287: Improper Authentication •