漏洞概述 | |||
漏洞名称 | Zabbix SQL注入漏洞 | ||
漏洞编号 | QVD-2024-48731,CVE-2024-42327 | ||
公开时间 | 2024-11-27 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 9.9 |
威胁类型 | 权限提升、代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述:攻击者可以通过API接口,向_user.get_ API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。 | |||
01 漏洞详情
影响组件
Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。
漏洞描述
近日,奇安信CERT监测到官方修复Zabbix SQL注入漏洞(CVE-2024-42327),Zabbix的addRelatedObjects函数中的CUser类中存在SQL注入,此函数由 CUser.get 函数调用,具有API访问权限的用户可利用造成越权访问高权限用户敏感信息以及执行恶意SQL语句等危害。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
6.0.0 <= Zabbix <= 6.0.31
6.4.0 <= Zabbix <= 6.4.16
Zabbix 7.0.0
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Zabbix SQL注入漏洞(CVE-2024-42327) ,截图如下:
04 受影响资产情况
奇安信鹰图资产测绘平台数据显示,Zabbix SQL注入漏洞(CVE-2024-42327)关联的国内风险资产总数为31748个,关联IP总数为6852个。全球风险资产分布情况如下:
Zabbix SQL注入漏洞(CVE-2024-42327)关联的全球风险资产总数为147854个,关联IP总数为42656个。全球风险资产分布情况如下:
05 处置建议
安全更新
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Zabbix 6.0.* >= 6.0.32rc1
Zabbix 6.4.* >= 6.4.17rc1
Zabbix >= 7.0.1rc1
官方补丁下载地址:
https://www.zabbix.com/download
06 参考资料
[1]https://support.zabbix.com/browse/ZBX-25623
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
