安全通告
關于Zabbix-監(jiān)控系統(tǒng)組件存在SQL注入漏洞的預警通報
發(fā)布日期:2024-7-8
漏洞描述
2024年7月8日監(jiān)測發(fā)現(xiàn)Zabbix-監(jiān)控系統(tǒng)組件存在SQL注入漏洞(CVE-2024-22120),該漏洞是由于clientip字段未經(jīng)清理,可能導致SQL時間盲注攻擊,經(jīng)過身份驗證的威脅者可利用該漏洞從數(shù)據(jù)庫中獲取敏感信息,并可能導致將權限提升為管理員或導致遠程代碼執(zhí)行。
Zabbix是一個基于WEB界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡監(jiān)視功能的企業(yè)級的開源解決方案。
漏洞編號
CVE-2024-22120
漏洞危害
攻擊者可能利用這一漏洞從數(shù)據(jù)庫中獲取敏感信息,并可能導致將權限提升為管理員或導致遠程代碼執(zhí)行。
漏洞等級
高危
受影響版本
6.0.0≤Zabbixserver≤6.0.27
6.4.0≤Zabbixserver≤6.4.12
7.0.0alpha1≤Zabbixserver≤7.0.0beta1
修復方案
官方已發(fā)布了漏洞修復方案,建議受影響用戶升級至安全版本。
https://www.zabbix.com/download
參考鏈接
https://support.zabbix.com/browse/ZBX-24505