流行的开源监控工具 Zabbix 发布了紧急安全更新，以解决一个可能允许攻击者执行任意代码的关键漏洞（CVE-2024-42330）。该漏洞影响 Zabbix 6.0、6.4 和 7.0 的多个版本，源于对 HttpRequest 对象中 HTTP 标头的不当编码。攻击者可利用该漏洞制作恶意请求，导致远程代码执行。Zabbix 已发布修补版本（6.0.34rc1、6.4.19rc1、7.0.4rc1），强烈建议所有受影响用户立即更新，以避免系统遭受严重威胁。此事件也提醒我们，即使是广泛使用的开源工具也可能存在安全漏洞，及时更新和遵循安全准则是保障系统安全的关键。

🚨**Zabbix 存在关键漏洞 CVE-2024-42330：**该漏洞可能允许攻击者在易受攻击的 Zabbix 系统上执行任意代码，CVSS 得分为 9.1，影响 Zabbix 6.0、6.4 和 7.0 的多个版本。

💻**漏洞源于 HTTP 标头的不当编码：**攻击者可以利用此漏洞制作恶意请求，导致远程代码执行，因为返回的字符串未针对 JavaScript 进行正确编码，从而允许访问对象的隐藏属性。

🛡️**Zabbix 已发布修补版本：**分别为 6.0.34rc1、6.4.19rc1 和 7.0.4rc1，强烈建议所有受影响的用户立即更新到最新版本，以修复漏洞并保护系统安全。

⚠️**及时更新和遵循安全准则至关重要：**即使是像 Zabbix 这样广泛使用的开源工具，也可能存在安全漏洞，及时打补丁并遵守安全准则可以有效降低遭受网络攻击的风险。

流行的开源监控工具 Zabbix 发布了紧急安全更新，以解决一个可能允许攻击者在易受攻击系统上执行任意代码的关键漏洞。该漏洞被追踪为 CVE-2024-42330，CVSS 得分为 9.1，影响 Zabbix 6.0、6.4 和 7.0 的多个版本。Zabbix 被各种规模的组织广泛用于监控其 IT 基础架构，包括网络、服务器和云服务。该漏洞源于对 HttpRequest 对象中 HTTP 标头的不当编码，可被利用来制作恶意请求，导致远程代码执行。“返回的字符串是直接从服务器返回的数据中创建的，没有针对 JavaScript 进行正确编码。这就允许创建内部字符串，用于访问对象的隐藏属性。”该漏洞由安全研究员 “zhutyra ”通过 HackerOne 漏洞悬赏平台发现，并负责任地披露给了 Zabbix。Zabbix 通过发布修补版本及时解决了这一问题：6.0.34rc16.4.19rc17.0.4rc1强烈建议所有受影响 Zabbix 版本的用户立即更新到最新版本。否则，系统可能会受到严重威胁。即使是像 Zabbix 这样广泛使用且值得信赖的开源工具，也可能包含攻击者可以利用的漏洞。通过及时打补丁和遵守安全准则，企业可以大大降低遭受网络攻击的风险。