ГлавнаяБаза уязвимостей БДУ → BDU:2025-05633
7.7высокая

BDU:2025-05633 (CVE-2024-36465)

Уязвимость компонента API универсальной системы мониторинга Zabbix, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2025-05-16
Описание

Уязвимость компонента API универсальной системы мониторинга Zabbix связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем обработки параметра groupBy

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)АЛЬТ СП 10Astra Linux Special Edition (1.8)Zabbix (от 7.0.0 до 7.0.8rc2)Zabbix (от 7.2.0 до 7.2.2rc1)
Способ устранения

Использование рекомендаций:
https://support.zabbix.com/browse/ZBX-26257

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-zabbix7-lts-server-pgsql-cve-2024-36465/?sphrase_id=966132

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
обновить пакет zabbix до 1:7.0.10+dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

Для ОС Astra Linux:
обновить пакет zabbix до 1:7.0.10+dfsg-2astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17

Для ОС Astra Linux:
обновить пакет zabbix до 1:7.0.10+dfsg-2astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47

Оценка CVSS
Балл7.7 — высокая опасность
Источники и патчи
https://support.zabbix.com/browse/ZBX-26257https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-zabbix7-lts-server-pgsql-cve-2024-36465/?sphrase_id=966132https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-1202SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE73
Проверьте безопасность своего сайта и почты → Полная проверка домена