|
漏洞概述 |
|||
|
漏洞名称 |
Zabbix存在SQL注入漏洞(CVE-2024-36465) |
||
|
安恒CERT评级 |
2级 |
CVSS3.1评分 |
8.8 |
|
CVE编号 |
CVE-2024-36465 |
CNVD编号 |
未分配 |
|
CNNVD编号 |
未分配 |
安恒CERT编号 |
DM-202405-004735 |
|
POC情况 |
未发现 |
EXP情况 |
未发现 |
|
在野利用 |
未发现 |
研究情况 |
分析中 |
|
危害描述 |
具有 API 访问权限的低权限(普通)Zabbix 用户可以利用 include/classes/api/CApiService.php 中的 SQL 注入漏洞通过 groupBy 参数执行任意 SQL 命令。 |
||
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
漏洞信息
Zabbix是由 Alexei Vladishev 开发的一种网络监视、管理系统,基于 Server-Client 架构。可用于监视各种网络服务、服务器和网络机器等状态。
漏洞描述
漏洞危害等级:高危
漏洞类型:SQL注入
影响范围
7.0.0
7.2.0
安全版本:
Zabbix 7.0.* >= 7.0.8rc2
Zabbix 7.2.* >= 7.2.2rc1
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无
用户交互(UI):不需要用户交互
影响范围 (S):不变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
修复方案
官方修复方案:
官方已发布修复方案,受影响的用户建议及时更新至对应安全版本。
官方下载地址:
https://www.zabbix.com/download
参考资料
https://support.zabbix.com/browse/ZBX-26257
评论 (0)