安全通告

关于Zabbix-监控系统组件存在SQL注入漏洞的预警通报

发布日期：2024-7-8

漏洞描述

2024年7月8日监测发现Zabbix-监控系统组件存在SQL注入漏洞（CVE-2024-22120），该漏洞是由于clientip字段未经清理，可能导致SQL时间盲注攻击，经过身份验证的威胁者可利用该漏洞从数据库中获取敏感信息，并可能导致将权限提升为管理员或导致远程代码执行。

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。

漏洞编号

CVE-2024-22120

漏洞危害

攻击者可能利用这一漏洞从数据库中获取敏感信息，并可能导致将权限提升为管理员或导致远程代码执行。

漏洞等级

高危
受影响版本

6.0.0≤Zabbixserver≤6.0.27

6.4.0≤Zabbixserver≤6.4.12

7.0.0alpha1≤Zabbixserver≤7.0.0beta1

修复方案

官方已发布了漏洞修复方案，建议受影响用户升级至安全版本。

https://www.zabbix.com/download
参考链接

https://support.zabbix.com/browse/ZBX-24505