Zabbix 存在 SQL 注入漏洞（CVE-2024-42327），該漏洞是由于在 Zabbix前端的CUser類中的addRelatedObjects函數(shù)未對(duì)輸入數(shù)據(jù)進(jìn)行充分驗(yàn)證和轉(zhuǎn)義，導(dǎo)致具有API訪問(wèn)權(quán)限的惡意用戶可以通過(guò)user.get API傳遞特制輸入觸發(fā)SQL注入攻擊，進(jìn)而利用該漏洞實(shí)現(xiàn)權(quán)限提升或訪問(wèn)敏感數(shù)據(jù)。

Zabbix是一個(gè)基于WEB界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡(luò)監(jiān)視功能的企業(yè)級(jí)開(kāi)源監(jiān)控解決方案，可以用來(lái)監(jiān)控服務(wù)器、硬件、網(wǎng)絡(luò)等。

該漏洞位于user.get API端點(diǎn)，任何具有API訪問(wèn)權(quán)限的非管理員用戶均可利用，包括默認(rèn)的“用戶”角色。利用這一漏洞，攻擊者可以通過(guò)操控特定的API調(diào)用，注入惡意SQL代碼，從而獲得未授權(quán)的訪問(wèn)和控制權(quán)限，進(jìn)而完全控制Zabbix實(shí)例，導(dǎo)致敏感監(jiān)控?cái)?shù)據(jù)和連接系統(tǒng)的泄露。

Qualys公司對(duì)于該漏洞進(jìn)行分析，指出利用這個(gè)漏洞可能允許攻擊者提升權(quán)限并獲得對(duì)易受攻擊的Zabbix服務(wù)器的完全控制，且目前已經(jīng)發(fā)現(xiàn)，有超過(guò)83000個(gè)暴露在互聯(lián)網(wǎng)上的Zabbix服務(wù)器。

漏洞具體信息如下：

漏洞等級(jí)

高危

受影響版本

目前受影響的Zabbix版本：

• 6.0.0 <= Zabbix < 6.0.32rc1
• 6.4.0 <= Zabbix < 6.4.17rc1
• Zabbix 7.0.0

修復(fù)方案

目前官方已發(fā)布新版本修復(fù)該漏洞，建議受影響用戶升級(jí)到Zabbix 6.0.32rc1、Zabbix 6.4.17rc1、Zabbix 7.0.1rc1或更高版本。官網(wǎng)地址：https://www.zabbix.com/download

盡管關(guān)于CVE-2024-42327的咨詢僅在上周發(fā)布，但包含該問(wèn)題補(bǔ)丁的版本6.0.32rc1、6.4.17rc1和7.0.1rc1已于7月發(fā)布。這些修補(bǔ)版本還解決了另外一個(gè)漏洞，編號(hào)為CVE-2024-36466（CVSS評(píng)分為8.8）。該漏洞存在認(rèn)證繞過(guò)問(wèn)題，可能允許攻擊者簽署偽造的zbx_session cookie并以管理員權(quán)限登錄。

Zabbix版本7.0.1rc1還修復(fù)了CVE-2024-36462，這是一個(gè)不受控制的資源消耗漏洞，可能允許攻擊者造成拒絕服務(wù)（DoS）狀態(tài)。目前沒(méi)有發(fā)現(xiàn)該漏洞被公開(kāi)利用的情況，強(qiáng)烈建議用戶盡快安全最新版本，以修復(fù)上述漏洞。

參考來(lái)源：https://www.securityweek.com/critical-vulnerability-found-in-zabbix-network-monitoring-tool/