Kritisk SQL-Injection-sårbarhed i Zabbix Front-End

Eskil Sørensen

12.02.2024 09:30

CVSS-score på 9,9.

Der er fundet en kritisk sårbarhed i Zabbix Front-End. Det skriver The Register.

Sårbarheden skyldes, at en brugerkonto uden administrative rettigheder på Zabbix-frontenden kan få adgang til det tilhørende API, og dermed udnytte sårbarheden.

Sårbarheden findes i CUser-klassen i addRelatedObjects-funktionen, som kaldes fra CUser.get-funktionen, der er tilgængelig for alle brugere, som har API-adgang.

Sårbarheden har id'et CVE-2024-42327 og en CVSS-score på 9,9.

De berørte systemer er følgede

Versioner fra 6.0.0 til og med 6.0.31
Versioner fra 6.4.0 til og med 6.4.16
Versioner fra 7.0.0 til og med 7.0.1

Der er endnu ingen rapporter om aktiv udnyttelse.

Det anbefales at opdatere sårbare systemer.

Læs mere

Zabbix urges upgrades after critical SQL injection bug disclosure

Sårbarhed