【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)

admin 2024年5月21日22:10:44评论11 views字数 705阅读2分21秒阅读模式

【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)  漏洞公告

近日,中国电信SRC监测到Zabbix官方发布安全公告,Zabbix 服务器存在SQL注入漏洞 (CVE-2024-22120)。漏洞存在于audit.c的zbx_auditlog_global_script函数中,由于clientip字段未经清理,可能导致SQL时间盲注攻击,经过身份验证的威胁者可利用该漏洞从数据库中获取敏感信息,并可能导致将权限提升为管理员或导致远程代码执行。目前漏洞PoC已公开,请受影响用户尽快采取措施进行防护。当前官方已发布相关补丁,建议用户及时更新对应补丁修复漏洞。

参考链接:https://nvd.nist.gov/vuln/detail/CVE-2024-22120

【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)

影响版本

受影响版本:
Zabbix 6.0.0 - 6.0.27
Zabbix 6.4.0 - 6.4.12
Zabbix 7.0.0alpha1 - 7.0.0beta1
 【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)

漏洞描述

Zabbix 服务器SQL注入漏洞 (CVE-2024-22120):Zabbix服务器可以为配置的脚本执行命令。在命令执行后,会在“审计日志”中添加审计记录。由于“clientip”字段未经过清理,可能将SQL注入到“clientip”中,并利用时间盲注攻击。

细节是否公开
 POC状态/EXP状态
 在野利用
 
   已公开
    未发现

【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)

解决方案

官方建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本。链接:https://www.zabbix.com/download

【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)

                                     【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)点亮“在看”,你最好看

原文始发于微信公众号(中国电信SRC):【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月21日22:10:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Zabbix服务器SQL注入漏洞(CVE-2024-22120)https://cn-sec.com/archives/2763828.html

发表评论

匿名网友 填写信息