GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全事务响应

ZABBIX SQL注入缝隙来袭，GA黄金甲提供解决规划

颁布功夫 2024-05-23

Zabbix是一个基于WEB界面的企业级开源解决规划，用于提供散布式系统监督和网络监督职能，保障服务器系统的安全运营，便于系统治理员急剧定位和解决存在的各类问题。

其重要由两个重要组件组成：Zabbix server和可选的Zabbix agent。其中，Zabbix server可能通过SNMP、Zabbix agent、ping、端口监督等步骤对远程服务器和网络状态进行监督和数据网络，可在Linux、Solaris、HP-UX、AIX、Free BSD、Open BSD、OS X等多衷旖台上运行。

缝隙详情

2024年5月21日，GA黄金甲金睛安全钻研团队监控到Zabbix SQL注入缝隙（CVE-2024-22120）谍报。该缝隙存在于audit.c的zbx_auditlog_global_script函数中，由于clientip字段未经算帐，可能导致SQL功夫盲注攻击。经过身份验证的攻击者可利用该缝隙从数据库中获取敏感信息，并可将权限提升为治理员或远程执行代码。

GA黄金甲·(中国区)官方网站

缝隙复现截图

GA黄金甲·(中国区)官方网站

利用治理员session及key收受治理怨厮户

GA黄金甲·(中国区)官方网站

进行cookie代替后刷新页面即可收受zabbix治理员

GA黄金甲·(中国区)官方网站

GA黄金甲·(中国区)官方网站

影响版本

6.0.0 <= Zabbix <= 6.0.27

6.4.0 <= Zabbix <= 6.4.12

7.0.0alpha1 <= Zabbix <= 7.0.0beta1

建复建议

1、官方建复规划

官方已颁布安全更新，Zabbix团队颁布了补丁以解决版本6.0.28rc1、6.4.13rc1和7.0.0beta2中的缝隙。

地址：https://www.zabbix.com/download

2、GA黄金甲规划

天阗入侵检测与治理系统、天阗超融合检测探针（CSP）、天阗威胁分析一体机（TAR）、天清入侵防御系统（IPS）、天清Web利用安全网关（WAF）升级到20240523版本即可有效检测或防护该缝隙造成的攻击风险。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】