CVE-2024-42330 (CVSS 9.1): Zabbix 修补了严重远程代码执行漏洞

阅读量45177

发布时间 : 2024-11-29 10:49:22

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-42330-cvss-9-1-zabbix-patches-critical-remote-code-execution-vulnerability/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-42330

流行的开源监控工具 Zabbix 发布了紧急安全更新,以解决一个可能允许攻击者在易受攻击系统上执行任意代码的关键漏洞。该漏洞被追踪为 CVE-2024-42330,CVSS 得分为 9.1,影响 Zabbix 6.0、6.4 和 7.0 的多个版本。

Zabbix 被各种规模的组织广泛用于监控其 IT 基础架构,包括网络、服务器和云服务。该漏洞源于对 HttpRequest 对象中 HTTP 标头的不当编码,可被利用来制作恶意请求,导致远程代码执行。

“返回的字符串是直接从服务器返回的数据中创建的,没有针对 JavaScript 进行正确编码。这就允许创建内部字符串,用于访问对象的隐藏属性。”

该漏洞由安全研究员 “zhutyra ”通过 HackerOne 漏洞悬赏平台发现,并负责任地披露给了 Zabbix。Zabbix 通过发布修补版本及时解决了这一问题:

  • 6.0.34rc1
  • 6.4.19rc1
  • 7.0.4rc1

强烈建议所有受影响 Zabbix 版本的用户立即更新到最新版本。否则,系统可能会受到严重威胁。

即使是像 Zabbix 这样广泛使用且值得信赖的开源工具,也可能包含攻击者可以利用的漏洞。通过及时打补丁和遵守安全准则,企业可以大大降低遭受网络攻击的风险。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66