CVE-2024-42327 (CVSS 9.9): 在 Zabbix 中发现严重 SQL 注入漏洞

阅读量44972

发布时间 : 2024-11-28 10:57:37

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-42327-critical-sql-injection-vulnerability-found-in-zabbix/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-42327

全球企业普遍使用的开源 IT 基础架构监控工具 Zabbix 被发现包含一个严重的 SQL 注入漏洞 (CVE-2024-42327),CVSS 得分为 9.9。该漏洞允许攻击者升级权限并获得对 Zabbix 实例的完全控制权,从而可能危及敏感的监控数据和连接系统。

该漏洞存在于 user.get API 端点,任何拥有 API 访问权限的非管理员用户(包括默认的 “用户 ”角色)都可能利用该漏洞。通过操纵特定的 API 调用,攻击者可以注入恶意 SQL 代码,从而获得未经授权的访问权限和控制权。

影响和利用

成功利用 CVE-2024-42327 可能会导致:

  • 数据泄露: 攻击者可以访问和外泄敏感的监控数据,包括系统配置、性能指标和用户凭据。
  • 系统泄露:攻击者可利用其升级的权限泄露底层 Zabbix 服务器,并可能转移到其他连接的系统。
  • 拒绝服务: 攻击者可通过操纵或删除关键数据来中断监控操作。

缓解和补救措施

Zabbix 已在以下版本中解决了此漏洞:

  • 6.0.32rc1
  • 6.4.17rc1
  • 7.0.1rc1

强烈建议使用 Zabbix 的组织立即将其部署更新到最新的修补版本。此外,建议审查用户角色和权限,以确保只有授权人员才能访问 API。

漏洞发现和披露

该漏洞由安全研究人员 Márk Rákóczi 发现,并通过 HackerOne 漏洞悬赏平台报告。Zabbix 已确认该报告,并迅速发布了补丁来解决该问题。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66