2024年5月21日,网上更新披露了一个Zabbix拒绝服务漏洞(CVE-2024-22120),Zabbix 是开源的网络监控工具,用于监控网络服务、服务器和网络设备的性能和可用性,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,由于audit.c中的 zbx_auditlog_global_script 函数中未对用户可控的 clientip 进行过滤从而存在SQL注入漏洞,具有登录权限的攻击者可通过 Host->SCRIPTS 执行包含 payload 的脚本,脚本执行后将日志添加至 Audit Log 时进行时间盲注,窃取数据库敏感敏感信息进而提权至管理员,或在目标服务器上远程执行任意代码。
风险等级:高风险。
影响范围:
zabbix@(-∞, 6.0.28rc1)
zabbix@[6.4.0, 6.4.13rc1)
zabbix@[7.0.0alpha1, 7.0.0beta2)
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本
进行安全更新方法:
https://support.zabbix.com/secure/Dashboard.jspa
