Zabbix 修复高危 SQL 注入漏洞CVE-2024-42327

Zabbix 是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案，可监控物联网、工业设备监控服务器等。

一、基本情况

Zabbix 可以监视各种网络参数，保证服务器系统的安全运营；并提供柔软的通知机制，从而让系统管理员快速定位/解决存在的各种问题。

栋科技漏洞库关注到 Zabbix 中近期修复一个严重的SQL注入漏洞，这一漏洞被追踪为CVE-2024-42327，这一漏洞的CVSS评分高达9.9。

二、漏洞分析

CVE-2024-42327是Zabbix中的高危SQL注入漏洞，允许攻击者提升权限、完全控制Zabbix实例，可导致敏感监控数据和连接系统的泄露。

该漏洞位于 user.get API 端点中，该漏洞源于 Zabbix 前端的 CUser 类中的 addRelatedObjects 函数没有对输入数据进行充分验证和转义。

从而导致具有API访问权限的恶意用户可通过user.get API传递特制输入触发SQL注入攻击，进而利用该漏洞实现权限提升或访问敏感数据。

该漏洞的存在任何具有API访问权限的非管理员用户均可利用，包括默认的“用户”角色，攻击者通过操控特定的API调用注入恶意SQL代码。

该漏洞由安全研究员Márk Rákóczi发现并通过HackerOne漏洞赏金平台报告，Zabbix确认后迅速发布6.0.32rc1、6.4.17rc1和7.0.1rc1补丁。

攻击者利用该漏洞，通过注入恶意SQL代码触发SQL注入攻击，从而获得未授权的访问和控制权限，可能导致的安全威胁不限于如下几种：

1、数据泄露：攻击者能够访问并提取敏感监控数据，包括系统配置、性能指标和用户凭证。

2、系统妥协：攻击者可以利用提升的权限妥协底层Zabbix服务器，并可能进一步攻击其他连接系统。

3、拒绝服务：攻击者可以通过操控或删除关键数据来干扰监控操作。

三、影响范围

Zabbix 6.0.0 - 6.0.31

Zabbix 6.4.0 - 6.4.16

Zabbix 7.0.0  

四、修复建议

目前该漏洞已经修复，受影响用户可升级到Zabbix 6.0.32rc1、Zabbix 6.4.17rc1、Zabbix 7.0.1rc1或更高版本。

五、参考链接

https://github.com/zabbix/zabbix/tags