Zabbix服务器SQL注入漏洞（CVE-2024-42327）

阅读： 2

一、漏洞概述

近日，绿盟科技CERT监测到Zabbix发布安全公告，修复了Zabbix服务器SQL注入漏洞(CVE-2024-42327)，由于addRelatedObjects函数中的CUser类存在SQLi漏洞，具有默认用户权限或API访问权限的攻击者可以调用CUser.get函数，从而越权访问敏感信息或执行任意SQL语句。CVSS评分9.9，目前漏洞PoC已公开，请相关用户尽快采取措施进行防护。
Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案，可以用来监控服务器、硬件、网络等。

参考链接：https://support.zabbix.com/browse/ZBX-25623

二、影响范围

受影响版本

6.0.0 <= Zabbix <= 6.0.31
6.4.0 <= Zabbix <= 6.4.16
Zabbix = 7.0.0

不受影响版本

Zabbix >= 6.0.32rc1
Zabbix >= 6.4.17rc1
Zabbix >= 7.0.1rc1

三、漏洞防护

官方升级

目前官方已发布新版本修复了该漏洞，请受影响的用户尽快升级版本进行防护，下载链接：https://www.zabbix.com/download

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。