Zabbix 服务器SQL注入漏洞(CVE-2024-42327)

日期：2024-11-28 15:53:33 发布人：信息化建设中心浏览量：0

一、漏洞概要

漏洞名称	Zabbix 服务器SQL注入漏洞(CVE-2024-42327)
发布时间	2024年11月28日
组件名称	Zabbix
影响范围	6.0.0 ≤ Zabbix < 6.0.32rc1 6.4.0 ≤ Zabbix < 6.4.17rc1 Zabbix 7.0.0
漏洞类型	SQL注入
利用条件	1、用户认证：访问权限用户 2、前置条件：默认配置 3、触发方式：远程
综合评价	<综合评定利用难度>：容易，访问权限用户即可执行任意sql语句。 <综合评定威胁等级>：严重，能造成远程代码执行。
官方解决方案	已发布

二、漏洞分析

2.1 组件介绍

zabbix 是一个基于 Web 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。

2024年11月28日，深瞳漏洞实验室监测到一则Zabbix组件存在SQL注入漏洞的信息，漏洞编号：CVE-2024-42327，漏洞威胁等级：严重。

Zabbix的addRelatedObjects 函数存在一个严重漏洞，只具有访问权限的攻击者可以利用该漏洞执行任意sql语句，执行任意代码，导致服务器失陷。

目前受影响的Zabbix版本：

6.0.0 ≤ Zabbix < 6.0.32rc1

6.4.0 ≤ Zabbix < 6.4.17rc1

Zabbix 7.0.0

官方修复建议

官方已发布新版本修复该漏洞，建议受影响用户将Zabbix更新到6.0.32rc1，6.4.17rc1，7.0.1rc1版本。