Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布

独眼情报 2024-12-05 03:11

安全研究员 Alejandro Ramos 发布了针对 CVE-2024-42327 的详细技术分析和概念验证 (PoC) 漏洞利用代码，CVE-2024-42327 是一个影响 Zabbix（一种广泛使用的开源企业网络和应用程序监控平台）的严重 SQL 注入漏洞。该漏洞的 CVSSv3 评分为 9.9，代表了近乎完美的严重性评级，对全球 Zabbix 部署具有严重影响。

该漏洞位于 Zabbix 前端，具体位于 CUser 类的 addRelatedObjects 函数中，该函数由 CUser.get 方法调用。根据该项目的描述，该漏洞允许具有默认用户角色或允许 API 访问的任何角色的非管理员用户帐户利用该漏洞。Ramos
详细说明
，“该漏洞位于 user.get 方法中，具体位于 selectRole 中，该方法链接数组而不验证输入数据
。”

Zabbix 版本 7.0.0 补丁差异 | 图片：Alejandro Ramos

一旦被利用，这种 SQL 注入可以让攻击者提升权限，潜在地危及监控系统并获取敏感企业数据的访问权。

该漏洞最初由 Márk Rákóczi 发现，并通过 HackerOne 漏洞赏金平台报告。Zabbix
解释道
：“CUser 类的 addRelatedObjects 函数中存在一个 SQLi，该函数由 CUser.get 函数调用，每个拥有 API 访问权限的用户都可以使用该函数。”

Zabbix 已意识到该问题的严重性，并敦促用户立即更新其安装。受影响的版本包括 6.0.0 至 6.0.31、6.4.0 至 6.4.16 和 7.0.0。用户应升级到最新的修补版本：6.0.32rc1、6.4.17rc1 或 7.0.1rc1，以降低风险。

Zabbix 的全球客户群包括各大洲的数千家组织。如果此漏洞被利用，使用 Zabbix 进行关键监控操作的企业可能会面临严重中断。从数据泄露到权限提升，攻击者可以利用此漏洞获得对 Zabbix 环境的未经授权的控制。

Ramos在 GitHub 上
发布了
针对 CVE-2024-42327 的 PoC 漏洞利用，大大增加了漏洞利用的风险。该 SQL 注入漏洞可由可访问 API 的帐户触发，因此组织必须限制不必要的 API 权限并立即升级其 Zabbix 安装。

poc:

https://github.com/aramosf/cve-2024-42327

详细技术分析：

https://www.linkedin.com/pulse/el-%C3%B3xido-y-la-vulnerabilidad-cr%C3%ADtica-en-zabbix-alejandro-ramos-dsvpf/