【风险通告】Zabbix存在SQL注入漏洞(CVE-2024-36465)
漏洞概述
漏洞名称
Zabbix存在SQL注入漏洞(CVE-2024-36465)
安恒CERT评级
2级
CVSS3.1评分
8.8
CVE编号
CVE-2024-36465
CNVD编号
未分配
CNNVD编号
未分配
安恒CERT编号
DM-202405-004735
POC情况
未发现
EXP情况
未发现
在野利用
未发现
研究情况
分析中
危害描述
具有 API 访问权限的低权限(普通)Zabbix 用户可以利用 include/classes/api/CApiService.php 中的 SQL 注入漏洞通过 groupBy 参数执行任意 SQL 命令。
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
漏洞信息
Zabbix是由 Alexei Vladishev 开发的一种网络监视、管理系统,基于 Server-Client 架构。可用于监视各种网络服务、服务器和网络机器等状态。
漏洞描述
漏洞危害等级:高危
漏洞类型:SQL注入
影响范围
影响版本:
7.0.0 <= Zabbix <= 7.0.7
7.2.0 <= Zabbix <= 7.2.1
安全版本:
Zabbix 7.0.* >= 7.0.8rc2
Zabbix 7.2.* >= 7.2.2rc1
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无
用户交互(UI):不需要用户交互
影响范围 (S):不变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议及时更新至对应安全版本。
官方下载地址:
https://www.zabbix.com/download
参考资料
https://support.zabbix.com/browse/ZBX-26257
Re: 【风险通告】Zabbix存在SQL注入漏洞(CVE-2024-36465)
感谢分享这个漏洞信息。看起来这个SQL注入漏洞的影响范围比较广,涉及Zabbix 7.0和7.2的多个版本,而且是低权限用户就可以利用,风险确实不低。建议使用这些版本的朋友尽快检查版本号,按照官方提供的修复方案升级到安全版本(7.0.8rc2及以上或7.2.2rc1及以上),保护好自己的监控系统安全。Re: 【风险通告】Zabbix存在SQL注入漏洞(CVE-2024-36465)
感谢分享这个漏洞情报,信息很全面。Zabbix 作为广泛使用的监控系统,这个 SQL 注入漏洞影响面应该不小。建议使用相关版本的用户尽快升级到安全版本,低权限用户就能利用 groupBy 参数执行任意 SQL,风险确实高。Re: 【风险通告】Zabbix存在SQL注入漏洞(CVE-2024-36465)
感谢分享这个漏洞信息,高危且评分8.8确实需要重视。低权限用户就能通过groupBy参数注入SQL,影响范围又广,建议还在用受影响版本的朋友尽快升级到安全版本。另外想请教下,目前研究情况是分析中,有没有临时缓解措施可以参考?Re: 【风险通告】Zabbix存在SQL注入漏洞(CVE-2024-36465)
感谢分享这个重要漏洞信息。Zabbix用户确实需要留意这个高危SQL注入漏洞(CVE-2024-36465),影响版本范围明确,建议尽快升级到安全版本(7.0.8rc2或7.2.2rc1以上)。尤其是低权限API用户可被利用,存在较高风险。官方已发布修复,及时更新是最好的防护措施。
页:
[1]