Zabbix 是一個基于 WEB 界面的提供分布式系統(tǒng)監(jiān)視以及網(wǎng)絡(luò)監(jiān)視功能的企業(yè)級開源監(jiān)控解決方案，可以用來監(jiān)控服務(wù)器、硬件、網(wǎng)絡(luò)等。近日，監(jiān)測到 Zabbix 發(fā)布安全公告，修復(fù)了 Zabbix 服務(wù)器 SQL 注入漏洞(CVE-2024-42327)，Zabbix 前端的 CUser 類中的 addRelatedObjects 函數(shù)未對輸入數(shù)據(jù)進行充分驗證和轉(zhuǎn)義，addRelatedObjects 函數(shù)被 CUser.get 函數(shù)調(diào)用，Cuser.get 函數(shù)對任何擁有 API 訪問權(quán)限的用戶可用，故具有默認 user 角色的 Zabbix 前端的非 admin 用戶帳戶，或具有API 訪問權(quán)限的任何其他角色都可以利用此漏洞。

漏洞編號 

CVE-2024-42327 

影響版本 

受影響版本：

 文檔編號:HERCERT-SW-202412-18-02

第 2 頁

6.0.0 <= Zabbix <= 6.0.31

6.4.0 <= Zabbix <= 6.4.16

Zabbix = 7.0.0

不受影響版本：

Zabbix >= 6.0.32rc1

Zabbix >= 6.4.17rc1

Zabbix >= 7.0.1rc1

防范措施 

受影響用戶可升級到 Zabbix 6.0.32rc1、Zabbix 

6.4.17rc1、Zabbix 7.0.1rc1 或更高版本。

下載鏈接：

https://github.com/zabbix/zabbix/tags