全球企业普遍使用的开源 IT 基础架构监控工具 Zabbix 被发现包含一个严重的 SQL 注入漏洞 (CVE-2024-42327),CVSS 得分为 9.9。该漏洞允许攻击者升级权限并获得对 Zabbix 实例的完全控制权,从而可能危及敏感的监控数据和连接系统。
该漏洞存在于 user.get API 端点,任何拥有 API 访问权限的非管理员用户(包括默认的 “用户 ”角色)都可能利用该漏洞。通过操纵特定的 API 调用,攻击者可以注入恶意 SQL 代码,从而获得未经授权的访问权限和控制权。
影响和利用
成功利用 CVE-2024-42327 可能会导致:
- 数据泄露: 攻击者可以访问和外泄敏感的监控数据,包括系统配置、性能指标和用户凭据。
- 系统泄露:攻击者可利用其升级的权限泄露底层 Zabbix 服务器,并可能转移到其他连接的系统。
- 拒绝服务: 攻击者可通过操纵或删除关键数据来中断监控操作。
缓解和补救措施
Zabbix 已在以下版本中解决了此漏洞:
- 6.0.32rc1
- 6.4.17rc1
- 7.0.1rc1
强烈建议使用 Zabbix 的组织立即将其部署更新到最新的修补版本。此外,建议审查用户角色和权限,以确保只有授权人员才能访问 API。
漏洞发现和披露
该漏洞由安全研究人员 Márk Rákóczi 发现,并通过 HackerOne 漏洞悬赏平台报告。Zabbix 已确认该报告,并迅速发布了补丁来解决该问题。