このウェブページのスクリーンショットから、脆弱性に関する以下の重要情報を取得できます。 1. 脆弱性番号: ZBX-25018 2. 脆弱性名称: JS修正内のメモリポインタへの直接アクセス (CVE-2024-36461) 3. 脆弱性タイプ: 欠陥 (Security) 4. 優先度: Critical(重大) 5. 影響を受けるバージョン: - 6.0.30 - 6.4.15 - 7.0.0 6. コンポーネント: Server (S) 7. 脆弱性情報: - CVE-2024-36461 - CVSSスコア: 9.1 - CVSSベクトル: https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:L/UI:N - 深刻度: Critical(重大) - サマリー: JSエンジン内のメモリポインタへの直接アクセスによる修正 - 説明: Zabbix内において、ユーザーはJavaScriptエンジン内のメモリポインタを直接変更することが可能でした。 8. 脆弱性分類: - Common Weakness Enumeration (CWE): CWE-822 Untrusted Pointer Dereference(信頼されないポインタの逆参照) - Common Attack Pattern Enumeration and Classification (CAPEC): CAPEC-253 Remote Code Inclusion(リモートコードインクルージョン) 9. 既知の攻撃ベクトル: - この脆弱性により、ユーザーはリモートコード実行によって単一のアイテム構成(監視ソリューション全体のインフラストラクチャ)へのアクセスを許可されます。 10. 脆弱性の詳細: - 以下の報告は、以前の発見(2088108: https://nvd.nist.gov/vuln/detail/CVE-2023-32724)の継続です。 - JSエンジンのメモリポインタは、Zabbixユーザーが修正のために直接アクセス可能であり、ducktapeオブジェクトのプロパティに配置されています (https://git.zabbix.com/projects/ZBX/repos/zabbix/browse/src/libs/zbxengine.js)。 11. パッチ提供: いいえ 12. 影響を受けるバージョンおよび修正済みのバージョン: - 6.0.0 - 6.0.30 / 6.0.31rc1 - 6.4.0 - 6.4.15 / 6.4.16rc1 - 7.0.0alpha1 - 7.0.0 / 7.0.1rc1 13. 修正後の互換性: なし これらの情報は、脆弱性の詳細、影響範囲、および修正状況の把握に役立ちます。