Kritische Sicherheitslücke in Zabbix: Direkter Zugriff auf Speicherzeiger im JS-Engine
Eine Memory Pointer Sicherheitslücke (CVE-2024-36461) wurde in der Open Source Monitoring-Software Zabbix gefunden. Die Lücke ermöglicht es Nutzern mit beschränkten Rechten, direkt auf Speicherzeiger innerhalb der JavaScript-Engine zuzugreifen und diese zu modifizieren. Dadurch besteht die Gefahr einer Remote Code Execution (RCE), die die gesamte Infrastruktur kompromittieren kann.
Diese Sicherheitslücke betrifft die Zabbix-Versionen 6.0.0 bis 6.0.30, 6.4.0 bis 6.4.15 sowie 7.0.0alpha1 bis 7.0.0. Ein Fix wurde in den Versionen 6.0.31rc1, 6.4.16rc1 und 7.0.1rc1 implementiert. Zabbix dankt Pavel Voit für die Meldung dieser Schwachstelle über die HackerOne-Plattform. Angesichts der hohen Kritikalität der Lücke (CVSS-Score: 9,1) sollten betroffene Systeme umgehend auf die gepatchten Versionen aktualisiert werden.