CRITICAL🇬🇧 English

CVE-2024-42327

SQL Injection w Zabbix – podatność w klasie CUser umożliwia eskalację uprawnień

CVSS 9.9v3.1pub. 2024-11-27upd. 2025-10-08

Podatność typu SQL injection (SQLi) w oprogramowaniu Zabbix pozwala każdemu użytkownikowi posiadającemu dostęp do API na wykonanie złośliwych zapytań SQL. Ze względu na niskie wymagania dotyczące uprawnień oraz krytyczny wynik CVSS 9.9, zagrożenie jest poważne dla każdej instalacji Zabbix z włączonym API.

Pokaż oryginał (EN)

A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.

🤖 Analiza AI
Jak działa

Błąd znajduje się w klasie CUser, w metodzie addRelatedObjects, która jest wywoływana przez funkcję CUser.get. Funkcja CUser.get jest dostępna dla każdego użytkownika mającego dostęp do API, w tym kont z domyślną rolą User. Dane wejściowe przekazywane do tej funkcji nie są odpowiednio walidowane ani parametryzowane, co umożliwia wstrzyknięcie arbitralnego kodu SQL po stronie serwera bazodanowego.

Skutki

Atakujący z dostępem do API Zabbix może wykonywać dowolne zapytania SQL w bazie danych, co może prowadzić do ujawnienia poufnych danych, modyfikacji danych oraz potencjalnego przejęcia pełnej kontroli nad systemem (privilege escalation, RCE w sprzyjających konfiguracjach).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://support.zabbix.com/browse/ZBX-25623). Jako środek tymczasowy zaleca się ograniczenie dostępu do API Zabbix wyłącznie do zaufanych kont administracyjnych oraz zablokowanie dostępu do frontendu Zabbix z niezaufanych sieci na poziomie firewall.

Kogo dotyczy

Zabbix – wersje wskazane w referencjach producenta; podatne są instalacje, w których użytkownicy z domyślną rolą User lub inną rolą z dostępem do API mają możliwość korzystania z frontendu Zabbix.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Zabbix

    APP
    Zabbix
    6.0.0 – 6.0.32 (bez)6.4.0 – 6.4.17 (bez)7.0.0 – 7.0.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-23131CRITICAL9.1⚠ KEVten sam produkt

In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...

CVE-2024-42330CRITICAL9.1PL ✓ten sam produkt

Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów

CVE-2024-36461CRITICAL9.1PL ✓ten sam produkt

Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)

CVE-2024-22116CRITICAL9.9PL ✓ten sam produkt

Zabbix: RCE przez brak escapowania parametrów skryptu Ping

CVE-2024-22120CRITICAL9.1PL ✓ten sam produkt

Zabbix Server — time-based blind SQL injection przez pole clientip