【漏洞通告】Zabbix服务器SQL注入漏洞（CVE-2024-42327）

绿盟科技CERT · 公众号 · · 2024-12-03 11:32

主要观点总结

关于Zabbix服务器存在的SQL注入漏洞通告。

关键观点总结

关键观点1: 漏洞概述与影响范围

Zabbix服务器存在一个SQL注入漏洞（CVE-2024-42327），攻击者可利用该漏洞获取目标系统敏感数据。漏洞影响特定版本的Zabbix服务器，包括6.0.0至6.0.31、6.4.0至6.4.16版本。CVSS评分9.9，目前漏洞PoC已公开。

关键观点2: 漏洞成因

该漏洞是由于Zabbix服务器中的addRelatedObjects函数中的CUser类存在SQLi漏洞，具有默认用户权限或API访问权限的攻击者可调用CUser.get函数，从而越权访问敏感信息或执行任意SQL语句。

关键观点3: 官方建议措施

官方已发布新版本修复该漏洞，受影响的用户应尽快升级版本进行防护。同时，用户应注意遵循安全公告中的声明，确保合法、合规地使用安全公告信息。

正文

通告编号:NS-2024-0034

2024-03-30

TA G：	Zabbix、SQL注入、CVE-2024-42327
漏洞危害：	攻击者利用此漏洞，可获取目标系统敏感数据。
版本：	1.0

漏洞概述

近日，绿盟科技CERT监测到Zabbix发布安全公告，修复了Zabbix服务器SQL注入漏洞(CVE-2024-42327)，由于addRelatedObjects函数中的CUser类存在SQLi漏洞，具有默认用户权限或API访问权限的攻击者可以调用CUser.get函数，从而越权访问敏感信息或执行任意SQL语句。CVSS评分9.9，目前漏洞PoC已公开，请相关用户尽快采取措施进行防护。

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案，可以用来监控服务器、硬件、网络等。

参考链接：

https://support.zabbix.com/browse/ZBX-25623

SEE MORE →

2 影响范围

受影响版本