查看: 383|回复: 0

【风险通告】Zabbix存在SQL注入漏洞(CVE-2024-36465)

[复制链接]
匿名
匿名  发表于 2025-4-3 17:51:35 |阅读模式


漏洞概述

漏洞名称

Zabbix存在SQL注入漏洞(CVE-2024-36465)

安恒CERT评级

2级

CVSS3.1评分

8.8

CVE编号

CVE-2024-36465


CNVD编号

未分配

CNNVD编号

未分配

安恒CERT编号

DM-202405-004735

POC情况

未发现

EXP情况

未发现

在野利用

未发现

研究情况

分析中

危害描述


具有 API 访问权限的低权限(普通)Zabbix 用户可以利用 include/classes/api/CApiService.php 中的 SQL 注入漏洞通过 groupBy 参数执行任意 SQL 命令。


该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。

漏洞信息

Zabbix是由 Alexei Vladishev 开发的一种网络监视、管理系统,基于 Server-Client 架构。可用于监视各种网络服务、服务器和网络机器等状态。

漏洞描述

漏洞危害等级:高危

漏洞类型:SQL注入

影响范围
影响版本:
7.0.0 <= Zabbix <= 7.0.7

7.2.0 <= Zabbix <= 7.2.1

安全版本:

Zabbix 7.0.* >= 7.0.8rc2

Zabbix 7.2.* >= 7.2.2rc1

CVSS向量

访问途径(AV):网络

攻击复杂度(AC):低

所需权限(PR):无

用户交互(UI):不需要用户交互

影响范围 (S):不变

机密性影响 (C):高

完整性影响 (l):高

可用性影响 (A):高

修复方案

官方修复方案:

官方已发布修复方案,受影响的用户建议及时更新至对应安全版本。

官方下载地址:
https://www.zabbix.com/download

参考资料


https://support.zabbix.com/browse/ZBX-26257

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2025-5-1 08:25 , Processed in 0.059697 second(s), 17 queries , Gzip On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部