警惕!Zabbix曝出严重漏洞,紧急修复指南速看
A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.
漏洞编号:CVE-2024-42327
漏洞类型:SQL注入漏洞
漏洞位置:Zabbix前端的CUser类中的addRelatedObjects函数
漏洞影响:未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入攻击
权限提升与数据访问:
系统泄露与扩大攻击面:
拒绝服务攻击:
攻击者还可以通过操纵或删除关键数据,来中断监控操作。这可能导致被监控的系统或网络出现故障,影响业务的正常运行。
目前已知受影响的Zabbix版本包括:
6.0.0 <= Zabbix < 6.0.32rc1
6.4.0 <= Zabbix < 6.4.17rc1
Zabbix 7.0.0
官方已发布新版本修复该漏洞,建议受影响用户尽快升级到Zabbix最新版本,如6.0.32rc1、Zabbix 6.4.17rc1、Zabbix 7.0.1rc1或更高版本。
官方地址:https://www.zabbix.com/download
Zabbix 6.0.32rc1、Zabbix 6.4.17rc1或Zabbix 7.0.1rc1除修复CVE-2024-42327外,这些修补版本还解决了另外一个漏洞,编号为CVE-2024-36466。攻击者利用此漏洞伪造或篡改zbx_session cookie,从而绕过正常的身份验证流程,以管理员权限登录系统。
另外Zabbix版本7.0.1rc1还修复了CVE-2024-36462,这是一个不受控制的资源消耗漏洞,它可能允许攻击者通过特定方式造成拒绝服务(DoS)状态。这种漏洞会消耗系统资源,导致系统无法响应正常请求,从而对系统的可用性和稳定性构成威胁。
新闻搜索
