CRITICAL🇬🇧 English

CVE-2024-22120

Zabbix Server — time-based blind SQL injection przez pole clientip

CVSS 9.1v3.1pub. 2024-05-17upd. 2025-10-08

W serwerze Zabbix odkryto podatność typu time-based blind SQL injection w polu 'clientip', które nie jest odpowiednio sanityzowane podczas zapisu do dziennika audytu. Luka posiada ocenę CVSS 9.1 (CRITICAL) i umożliwia atakującemu z uprawnieniami administratora wykonanie nieautoryzowanych operacji na bazie danych.

Pokaż oryginał (EN)

Zabbix server can perform command execution for configured scripts. After command is executed, audit entry is added to "Audit Log". Due to "clientip" field is not sanitized, it is possible to injection SQL into "clientip" and exploit time based blind SQL injection.

🤖 Analiza AI
Jak działa

Gdy Zabbix Server wykonuje skonfigurowany skrypt, do tabeli 'Audit Log' dodawany jest wpis zawierający pole 'clientip'. Pole to nie jest poddawane walidacji ani sanityzacji przed wstawieniem do zapytania SQL. Atakujący może wstrzyknąć złośliwy payload SQL do wartości 'clientip', co pozwala na przeprowadzenie ataku time-based blind SQL injection — techniki polegającej na wyciąganiu danych z bazy poprzez mierzenie czasów odpowiedzi serwera.

Skutki

Atakujący z uprawnieniami wysokiego poziomu może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych Zabbix, a potencjalnie również modyfikować lub niszczyć dane (zgodnie z wektorem CVSS: wysokie naruszenie poufności, integralności i dostępności w zmienioną domenę).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://support.zabbix.com/browse/ZBX-24505). Jako środek tymczasowy zaleca się ograniczenie dostępu do interfejsu administracyjnego Zabbix wyłącznie do zaufanych sieci i adresów IP.

Kogo dotyczy

Zabbix Server — wersje wskazane w referencjach producenta (zgłoszenie ZBX-24505)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Zabbix

    APP
    Zabbix
    7.0.06.0.0 – 6.0.28 (bez)6.4.0 – 6.4.13 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-23131CRITICAL9.1⚠ KEVten sam produkt

In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...

CVE-2024-42327CRITICAL9.9PL ✓ten sam produkt

SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień

CVE-2024-42330CRITICAL9.1PL ✓ten sam produkt

Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów

CVE-2024-22116CRITICAL9.9PL ✓ten sam produkt

Zabbix: RCE przez brak escapowania parametrów skryptu Ping

CVE-2024-36461CRITICAL9.1PL ✓ten sam produkt

Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)