CVE-2009-4502 – Zabbix Agent - 'net.tcp.listen' Command Injection
https://notcve.org/view.php?id=CVE-2009-4502
The NET_TCP_LISTEN function in net.c in Zabbix Agent before 1.6.7, when running on FreeBSD or Solaris, allows remote attackers to bypass the EnableRemoteCommands setting and execute arbitrary commands via shell metacharacters in the argument to net.tcp.listen. NOTE: this attack is limited to attacks from trusted IP addresses. La función NET_TCP_LISTEN en net.c en Zabbix Agent versiones anteriores a v1.6.7, cuando se ejecuta en FreeBSD o Solaris, permite a atacantes remotos eludir la asignación de EnableRemoteCommands y ejecutar comandos de su elección mediante metacaracteres del interprete de comandos en el argumento de net.tcp.listen. NOTA: este ataque está limitado a ser realizado desde direcciones IP de confianza. • https://www.exploit-db.com/exploits/16918 https://www.exploit-db.com/exploits/10431 http://secunia.com/advisories/37740 http://www.securityfocus.com/archive/1/508439 http://www.vupen.com/english/advisories/2009/3514 https://support.zabbix.com/browse/ZBX-1032 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2008-1353 – Zabbix 1.1x/1.4.x - File Checksum Request Denial of Service
https://notcve.org/view.php?id=CVE-2008-1353
zabbix_agentd in ZABBIX 1.4.4 allows remote attackers to cause a denial of service (CPU and connection consumption) via multiple vfs.file.cksum commands with a special device node such as /dev/urandom or /dev/zero. zabbix_agentd en ZABBIX 1.4.4, permite a atacantes remotos causar una Denegación de Servicio (Consumo de CPU y conexión) a través de múltiples comandos vfs.file.cksum con un nodo de dispositivo como /dev/urandom o /dev/zero. • https://www.exploit-db.com/exploits/31403 http://secunia.com/advisories/29383 http://securityreason.com/securityalert/3747 http://www.securityfocus.com/archive/1/489506/100/0/threaded http://www.securityfocus.com/bid/28244 http://www.vupen.com/english/advisories/2008/0878 https://exchange.xforce.ibmcloud.com/vulnerabilities/41196 •
CVE-2007-0640
https://notcve.org/view.php?id=CVE-2007-0640
Buffer overflow in ZABBIX before 1.1.5 has unknown impact and attack vectors related to "SNMP IP addresses." Desbordamiento de búfer en el ZABBIX en versiones anteriores a la 1.1.5 tiene un impacto desconocido y vectores de ataque relacionados con "SNMP IP addresses". • http://osvdb.org/33081 http://secunia.com/advisories/24020 http://www.securityfocus.com/bid/22321 http://www.vupen.com/english/advisories/2007/0416 http://www.zabbix.com/rn1.1.5.php https://exchange.xforce.ibmcloud.com/vulnerabilities/32038 •
CVE-2006-6692 – Zabbix 1.1.2 - Multiple Remote Code Execution Vulnerabilities
https://notcve.org/view.php?id=CVE-2006-6692
Multiple format string vulnerabilities in zabbix before 20061006 allow attackers to cause a denial of service (application crash) and possibly execute arbitrary code via format string specifiers in information that would be recorded in the system log using (1) zabbix_log or (2) zabbix_syslog. Múltiples vulnerabilidades de formato de cadena en zabbix versiones anteriores a 20061006 permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) y posiblemente ejecutar código de su elección mediante especificadores de formato de cadena en información que sería guardada en el fichero de trazas (log) del sistema usando (1) zabbix_log ó (2) zabbix_syslog. • https://www.exploit-db.com/exploits/28775 http://bugs.debian.org/cgi-bin/bugreport.cgi/zabbix.security.patch?bug=391388%3Bmsg=5%3Batt=1 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=391388 http://secunia.com/advisories/22313 http://www.securityfocus.com/bid/20416 http://www.vupen.com/english/advisories/2006/3959 •
CVE-2006-6693
https://notcve.org/view.php?id=CVE-2006-6693
Multiple buffer overflows in zabbix before 20061006 allow attackers to cause a denial of service (application crash) and possibly execute arbitrary code via long strings to the (1) zabbix_log and (2) zabbix_syslog functions. Múltiples desbordamientos de búfer en zabbix versiones anteriores a 20061006, permite a atacantes provocar una denegación de servicio (caída de aplicación) y posiblemente ejecutar código de su elección mediante cadenas largas en las funciones (1) zabbix_log y (2) zabbix_syslog. • http://bugs.debian.org/cgi-bin/bugreport.cgi/zabbix.security.patch?bug=391388%3Bmsg=5%3Batt=1 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=391388 http://secunia.com/advisories/22313 http://www.securityfocus.com/bid/20416 http://www.vupen.com/english/advisories/2006/3959 •