W serwerze Zabbix odkryto podatność typu time-based blind SQL injection w polu 'clientip', które nie jest odpowiednio sanityzowane podczas zapisu do dziennika audytu. Luka posiada ocenę CVSS 9.1 (CRITICAL) i umożliwia atakującemu z uprawnieniami administratora wykonanie nieautoryzowanych operacji na bazie danych.
▸ Pokaż oryginał (EN)
Zabbix server can perform command execution for configured scripts. After command is executed, audit entry is added to "Audit Log". Due to "clientip" field is not sanitized, it is possible to injection SQL into "clientip" and exploit time based blind SQL injection.
Gdy Zabbix Server wykonuje skonfigurowany skrypt, do tabeli 'Audit Log' dodawany jest wpis zawierający pole 'clientip'. Pole to nie jest poddawane walidacji ani sanityzacji przed wstawieniem do zapytania SQL. Atakujący może wstrzyknąć złośliwy payload SQL do wartości 'clientip', co pozwala na przeprowadzenie ataku time-based blind SQL injection — techniki polegającej na wyciąganiu danych z bazy poprzez mierzenie czasów odpowiedzi serwera.
Atakujący z uprawnieniami wysokiego poziomu może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych Zabbix, a potencjalnie również modyfikować lub niszczyć dane (zgodnie z wektorem CVSS: wysokie naruszenie poufności, integralności i dostępności w zmienioną domenę).
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://support.zabbix.com/browse/ZBX-24505). Jako środek tymczasowy zaleca się ograniczenie dostępu do interfejsu administracyjnego Zabbix wyłącznie do zaufanych sieci i adresów IP.
Zabbix Server — wersje wskazane w referencjach producenta (zgłoszenie ZBX-24505)
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HZabbix
APPZabbix7.0.06.0.0 – 6.0.28 (bez)6.4.0 – 6.4.13 (bez)
Powiązane podatności
In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...
SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień
Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów
Zabbix: RCE przez brak escapowania parametrów skryptu Ping
Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)