Zabbix user.get API'sinde SQL Injection

Zabbix user.get API'sinde SQL Injection

Zabbix ön ucunda varsayılan Kullanıcı rolüne veya API erişimi sağlayan başka bir role sahip yönetici olmayan bir kullanıcı hesabı bu güvenlik açığından yararlanabilir. CUser sınıfında addRelatedObjects fonksiyonunda bir SQLi mevcuttur, bu fonksiyon API erişimi olan her kullanıcı için mevcut olan CUser.get fonksiyonundan çağrılmaktadır.

Etkilenen Sistemler

6.0.0 - 6.0.31
6.4.0 - 6.4.16
7.0.0

IoC’ler

-

Çözüm Önerileri

6.0.32rc1, 6.4.17rc1, 7.0.1rc1
İlgili sürümlerin yükseltilmesi gerekmektedir.

CVE / CWE

CVE-2024-42327

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2024-42327
• https://support.zabbix.com/browse/ZBX-25623

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.