【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465)

发布于 作者:

【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465)

安全狐 2025-04-03 22:56

漏洞背景

Zabbix是一款开源的网络监控和报警系统,广泛应用于监视网络设备、服务器和应用程序的性能和可用性。近日,官方披露了Zabbix API中存在的一个SQL注入漏洞(CVE-2024-36465),该漏洞允许低权限用户通过API执行任意SQL命令,可能导致数据泄露或系统被控制。

漏洞概述

该漏洞源于Zabbix API中的include/classes/api/CApiService.php
文件对groupBy
参数校验不当,导致具有API访问权限的低权限用户可以通过构造恶意参数执行SQL注入攻击。该产品使用行业分布广泛,建议相关用户尽快做好自查及防护。

漏洞详情

  1. 漏洞成因

  2. Zabbix API在处理groupBy
    参数时未进行严格的输入过滤和参数化查询,导致攻击者可以通过注入恶意SQL语句绕过权限限制。

  3. 漏洞利用点位于CApiService.php
    文件中,攻击者可通过API请求传递恶意构造的groupBy
    参数。

  4. 攻击场景

  5. 攻击者可以通过API接口发送恶意请求,执行任意SQL命令,可能导致数据库信息泄露、数据篡改或服务器被控制。

  6. 由于仅需低权限即可利用,攻击门槛较低,风险较高。

影响范围

  1. 受影响版本

  2. Zabbix 7.0.0 至 7.0.7

  3. Zabbix 7.2.0 至 7.2.1

  4. 不受影响版本

  5. Zabbix 7.0.8rc2 及以上版本

  6. Zabbix 7.2.2rc1 及以上版本

  7. Zabbix 7.4.0alpha1 及以上版本

解决措施

1. 官方修复方案
1. 建议用户升级至以下安全版本:

  1. Zabbix 7.0.8rc2 或更高版本

  2. Zabbix 7.2.2rc1 或更高版

  3. 官方补丁下载地址:
    https://www.zabbix.com/download

2. 临时缓解措施
1. 限制API访问权限,仅允许受信任的用户访问Zabbix API。

  1. 监控API请求日志,检查是否存在异常的groupBy
    参数。

安全建议

1. 版本检测
1. 检查当前Zabbix版本是否在受影响范围内,若为受影响版本,请尽快升级至安全版本。

  1. 使用以下命令查看当前Zabbix版本: 
zabbix_server -V

2. 长期防护策略
1. 定期更新Zabbix至最新版本,避免已知漏洞被利用。

  1. 对API接口进行严格的访问控制和输入验证,防止类似漏洞被利用。

参考链接

  • Zabbix官方漏洞公告:https://support.zabbix.com/browse/ZBX-26257

  • CVE-2024-36465详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-36465