近期，Zabbix官方修复了Zabbix SQL注入漏洞(CVE-2024-42327)。利用该漏洞，具有API访问权限的用户可越权访问高权限用户敏感信息以及执行恶意SQL语句。目前该漏洞技术细节与PoC已在互联网上公开。

 

一、漏洞情况分析

Zabbix 是一款开源的网络监控和报警系统，用于监视网络设备、服务器和应用程序的性能和可用性。

近日，Zabbix官方修复了Zabbix SQL注入漏洞(CVE-2024-42327)，Zabbix的addRelatedObjects函数中的CUser类中存在SQL注入，此函数由 CUser.get 函数调用，具有API访问权限的用户可利用造成越权访问高权限用户敏感信息以及执行恶意SQL语句，以实现权限提升、数据泄露或系统入侵。

 

二、漏洞影响范围

6.0.0 <= Zabbix <= 6.0.31

6.4.0 <= Zabbix <= 6.4.16

Zabbix 7.0.0

 

三、漏洞处置建议

目前官方已有可更新版本，受影响用户升级至最新版本：

Zabbix 6.0.* >= 6.0.32rc1

Zabbix 6.4.* >= 6.4.17rc1

Zabbix >= 7.0.1rc1

官方补丁下载地址：

Download and install Zabbix