安全研究员 Alejandro Ramos 发布了 CVE-2024-42327 的详细技术分析和PoC。
CVE-2024-42327 是一个影响 Zabbix 的 SQL 注入漏洞,Zabbix 是一个广泛使用的开源企业网络和应用监控平台。该漏洞的 CVSSv3 评分为 9.9,代表了接近完美的严重性评级,对全球范围内的 Zabbix 部署具有严重影响。
该漏洞存在于 Zabbix 前端,特别是在 CUser 类的 addRelatedObjects 函数中,该函数由 CUser.get 方法调用。根据项目描述,该漏洞允许具有默认用户角色或任何允许 API 访问的角色的非管理员用户账户利用这一漏洞。Ramos 解释:“*该漏洞存在于 user.get 方法中,特别是在 selectRole 中,它在没有验证输入数据的情况下连接了一个数组 。”
一旦被利用,这个 SQL 注入漏洞可能使攻击者提升权限,从而可能破坏监控系统并获取敏感的企业数据。
该漏洞最初由 Márk Rákóczi 发现并通过 HackerOne 漏洞赏金平台报告。Zabbix :“在 CUser 类的 addRelatedObjects 函数中存在 SQLi,这个函数被 CUser.get 函数调用,而该函数对所有具有 API 访问权限的用户开放。”
Zabbix 已经承认了问题的严重性,并敦促用户立即更新他们的安装版本。受影响的版本包括 6.0.0 至 6.0.31、6.4.0 至 6.4.16 和 7.0.0。用户应升级到最新的已修复版本:6.0.32rc1、6.4.17rc1 或 7.0.1rc1,以降低风险。
Zabbix 的全球客户群包括遍布各大洲的数千个组织。使用 Zabbix 进行关键监控操作的企业如果该漏洞被利用,可能面临严重的中断。从数据外泄到权限提升,攻击者可以利用这一漏洞未经授权地控制 Zabbix 环境。
Ramos 已在 GitHub 上 发布了 CVE-2024-42327 的 PoC 漏洞利用。
该 SQL 注入漏洞可以被具有 API 访问权限的账户触发,因此必须限制不必要的 API 权限,并且马上更新Zabbix。
poc的github链接:
https://github.com/aramosf/cve-2024-42327?tab=readme-ov-file
原文始发于微信公众号(棉花糖fans):Zabbix SQL 注入 CVE-2024-42327 POC已公开
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论