Zabbix 存在 SQL 注入漏洞（CVE-2024-42327），該漏洞是由于在 Zabbix前端的CUser類中的addRelatedObjects函數未對輸入數據進行充分驗證和轉義，導致具有API訪問權限的惡意用戶可以通過user.get API傳遞特制輸入觸發SQL注入攻擊，進而利用該漏洞實現權限提升或訪問敏感數據。

Zabbix是一個基于WEB界面的提供分布式系統監視以及網絡監視功能的企業級開源監控解決方案，可以用來監控服務器、硬件、網絡等。

該漏洞位于user.get API端點，任何具有API訪問權限的非管理員用戶均可利用，包括默認的“用戶”角色。利用這一漏洞，攻擊者可以通過操控特定的API調用，注入惡意SQL代碼，從而獲得未授權的訪問和控制權限，進而完全控制Zabbix實例，導致敏感監控數據和連接系統的泄露。

Qualys公司對于該漏洞進行分析，指出利用這個漏洞可能允許攻擊者提升權限并獲得對易受攻擊的Zabbix服務器的完全控制，且目前已經發現，有超過83000個暴露在互聯網上的Zabbix服務器。

漏洞具體信息如下：

漏洞等級

高危

受影響版本

目前受影響的Zabbix版本：

• 6.0.0 <= Zabbix < 6.0.32rc1
• 6.4.0 <= Zabbix < 6.4.17rc1
• Zabbix 7.0.0

修復方案

目前官方已發布新版本修復該漏洞，建議受影響用戶升級到Zabbix 6.0.32rc1、Zabbix 6.4.17rc1、Zabbix 7.0.1rc1或更高版本。官網地址：https://www.zabbix.com/download

盡管關于CVE-2024-42327的咨詢僅在上周發布，但包含該問題補丁的版本6.0.32rc1、6.4.17rc1和7.0.1rc1已于7月發布。這些修補版本還解決了另外一個漏洞，編號為CVE-2024-36466（CVSS評分為8.8）。該漏洞存在認證繞過問題，可能允許攻擊者簽署偽造的zbx_session cookie并以管理員權限登錄。

Zabbix版本7.0.1rc1還修復了CVE-2024-36462，這是一個不受控制的資源消耗漏洞，可能允許攻擊者造成拒絕服務（DoS）狀態。目前沒有發現該漏洞被公開利用的情況，強烈建議用戶盡快安全最新版本，以修復上述漏洞。

參考來源：https://www.securityweek.com/critical-vulnerability-found-in-zabbix-network-monitoring-tool/