Zabbix 提醒称其开源企业网络监控解决方案中存在一个严重漏洞，可导致攻击者注入任意SQL查询并攻陷数据或系统。

该漏洞的编号是CVE-2024-42327（CVSS评分9.9），位于任何拥有API访问权限可访问的一个函数中。Zabbix 公司发布安全公告提到，“Zabbix 前端上拥有默认用户角色的非管理员用户账户，或者其它具有API访问权限的角色可利用该漏洞。addRelatedObjects 函数中的CUser 类中存在一个SQLi 漏洞。任何具有API访问权限的用户均可从 Cuser.get 函数中调用 addRelatedObjects 函数。”

Qualys 公司分析指出，利用该漏洞可导致攻击者提升权限并获得对易受攻击 Zabbix 服务器的完全控制权限。该公司已发现超过8.3万台暴露在互联网中的 Zabbix 服务器。

Zabbix 公司提到，该漏洞影响 Zabbix 6.0.0至6.0.31、6.4.0至6.4.16以及7.0.0版本。

尽管关于CVE-2024-42327的安全公告在上周发布，但补丁已包含在7月份发布的6.0.32rc1、6.4.17rc1以及7.0.1rc1版本中。

已打补丁版本还修复了认证绕过漏洞CVE-2024-36466（CVSS评分8.8），它可导致攻击者签名伪造的zbx_session cookie 并以管理员权限登录。Zabbix 7.0.1rc1 还修复了一个不受控的资源耗尽漏洞CVE-2024-36462，它可触发DoS 条件。

Zabbix 公司并未提及这些漏洞是否已遭在野利用，建议用户尽快更新至打补丁版本。该公司提到，其监控解决方案用于全球各行各业如教育、金融、视频、医疗、IT、制造以及零售等。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~