开源企业级网络监控工具Zabbix被发现存在一个严重漏洞,攻击者可能利用该漏洞注入任意 SQL 查询并损害数据或系统。漏洞编号为CVE-2024-42327(CVSS评分9.9),Zabbix的安全通告中指出“Zabbix 前端上的非管理员用户账户,具有默认用户角色,或具有任何其他提供 API 访问权限的角色,都可以利用改漏洞。”“在 CUser 类中的 addRelatedObjects 函数存在 SQL 注入漏洞,该函数被 CUser.get 函数调用,该函数对所有具有 API 访问权限的用户都可使用。”该漏洞被 Qualys 进行分析,指出利用该漏洞可能允许攻击者提升权限并完全控制 Zabbix 服务器。目前该漏洞影响 Zabbix 版本 6.0.0 至 6.0.31,6.4.0 至 6.4.16,以及 7.0.0,漏洞补丁已包含在 7 月发布的版本 6.0.32rc1、6.4.17rc1 和 7.0.1rc1 中。感谢阅读,如果觉得还不错的话,欢迎分享给更多喜爱的朋友~
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。
查看原文
