CVE-2024-22120 zabbix sql注入漏洞

admin 2024年8月5日15:24:38评论26 views字数 511阅读1分42秒阅读模式

漏洞描述

zabbix是一个基于Web界面的开源网络监控和管理解决方案,主要用于监控网络设备、服务器和应用程序的运行状态。

zabbix服务器在命令执行后,会在”审计日志”中添加审计记录。由于”clientip”字段未经过过滤,可能能够通过”clientip”字段进行时间盲注攻击。

 

漏洞危险等级

高危

 

影响版本

6.0.0 - 6.0.27

6.4.0 - 6.4.12

7.0.0alpha1 - 7.0.0beta1 

漏洞复现

本次漏洞复现环境zabbix 6.0.20通过VM虚拟机搭建:

https://cdn.zabbix.com/zabbix/appliances/stable/6.0/6.0.20/zabbix_appliance-6.0.20-vmx.tar.gz

CVE-2024-22120 zabbix sql注入漏洞

漏洞POC链接如下

https://support.zabbix.com/secure/attachment/236280/zabbix_server_time_based_blind_sqli.py

CVE-2024-22120 zabbix sql注入漏洞

漏洞功复现如下:

CVE-2024-22120 zabbix sql注入漏洞

修复建议

将zabbix版本升级至不存在漏洞的版本

原文始发于微信公众号(第59号):漏洞通告|高危!CVE-2024-22120 zabbix sql注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月5日15:24:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-22120 zabbix sql注入漏洞https://cn-sec.com/archives/2764104.html

发表评论

匿名网友 填写信息