พบช่องโหว่ SQL Injection ใน API user.get ของ Zabbix Server ที่เสี่ยงต่อความปลอดภัยของระบบ แนะนำให้อัปเดตระบบทันที
พบช่องโหว่ใหม่ที่สำคัญ CVE-2024-42327 ใน Zabbix Server ซึ่งอาจอนุญาตให้ผู้โจมตีใช้ประโยชน์จาก API user.get เพื่อโจมตี SQL Injection ช่องโหว่นี้มีคะแนน CVSS 9.9 ซึ่งจัดเป็นระดับวิกฤต
รายละเอียดช่องโหว่
คำอธิบาย:
ผู้ใช้งานทั่วไปที่ไม่ได้เป็นผู้ดูแลระบบ แต่มีบทบาท API-enabled สามารถใช้ API user.get เพื่อฉีดคำสั่ง SQL ที่เป็นอันตราย
ช่องโหว่นี้อยู่ใน CUser class โดยเฉพาะในฟังก์ชัน addRelatedObjects
ผลกระทบ:
เข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต
ควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
เวอร์ชันที่ได้รับผลกระทบ:
Zabbix Server 6.0.0 ถึง 6.0.31
Zabbix Server 6.4.0 ถึง 6.4.161
Zabbix Server 7.0.0
คำแนะนำในการป้องกัน
อัปเดตเป็นเวอร์ชันที่แก้ไขแล้ว:
Zabbix Server 6.0.32rc1
Zabbix Server 6.4.17rc1
Zabbix Server 7.0.1rc1
ตรวจสอบและปรับปรุงความปลอดภัย:
ตรวจสอบเวอร์ชันของ Zabbix Server ที่ใช้งานอยู่
จำกัดสิทธิ์ของผู้ใช้ API-enabled ให้อยู่ในกลุ่มที่จำเป็น
ติดตามคำแนะนำจากผู้ผลิต:
ดูรายละเอียดเพิ่มเติมได้ที่:
องค์กรที่ใช้ Zabbix เวอร์ชันที่ได้รับผลกระทบควรดำเนินการป้องกันทันที
Greenwill Solution พร้อมให้บริการประเมินช่องโหว่และจัดการแพตช์เพื่อปกป้องระบบของคุณจากภัยคุกคาม
ติดต่อเราเพื่อขอคำปรึกษาได้ทันที
Comentários