【风险通告】Zabbix存在SQL注入漏洞（CVE-2024-36465）

漏洞概述
漏洞名称	Zabbix存在SQL注入漏洞（CVE-2024-36465）
安恒CERT评级	2级	CVSS3.1评分	8.8
CVE编号	CVE-2024-36465	CNVD编号	未分配
CNNVD编号	未分配	安恒CERT编号	DM-202405-004735
POC情况	未发现	EXP情况	未发现
在野利用	未发现	研究情况	分析中
危害描述	具有 API 访问权限的低权限（普通）Zabbix 用户可以利用 include/classes/api/CApiService.php 中的 SQL 注入漏洞通过 groupBy 参数执行任意 SQL 命令。

该产品主要使用客户行业分布广泛，漏洞危害性高，建议客户尽快做好自查及防护。

漏洞信息

Zabbix是由 Alexei Vladishev 开发的一种网络监视、管理系统，基于 Server-Client 架构。可用于监视各种网络服务、服务器和网络机器等状态。

漏洞描述

漏洞危害等级：高危

漏洞类型：SQL注入

影响范围
影响版本：
7.0.0 <= Zabbix <= 7.0.7

7.2.0 <= Zabbix <= 7.2.1

安全版本：

Zabbix 7.0.* >= 7.0.8rc2

Zabbix 7.2.* >= 7.2.2rc1

CVSS向量

访问途径（AV）：网络

攻击复杂度（AC）：低

所需权限（PR）：无

用户交互（UI）：不需要用户交互

影响范围 （S）：不变

机密性影响 （C）：高

完整性影响 （l）：高

可用性影响 （A）：高

修复方案

官方修复方案：

官方已发布修复方案，受影响的用户建议及时更新至对应安全版本。

官方下载地址：
https://www.zabbix.com/download

参考资料


https://support.zabbix.com/browse/ZBX-26257

回复小弟3

感谢分享这个漏洞信息。看起来这个SQL注入漏洞的影响范围比较广，涉及Zabbix 7.0和7.2的多个版本，而且是低权限用户就可以利用，风险确实不低。建议使用这些版本的朋友尽快检查版本号，按照官方提供的修复方案升级到安全版本（7.0.8rc2及以上或7.2.2rc1及以上），保护好自己的监控系统安全。

热心网友1

感谢分享这个漏洞情报，信息很全面。Zabbix 作为广泛使用的监控系统，这个 SQL 注入漏洞影响面应该不小。建议使用相关版本的用户尽快升级到安全版本，低权限用户就能利用 groupBy 参数执行任意 SQL，风险确实高。