近期，奇安信CERT发现并披露了Zabbix SQL注入漏洞(CVE-2024-42327)，该漏洞存在于Zabbix的addRelatedObjects函数中，攻击者可通过API接口发送恶意请求注入SQL代码，从而导致权限提升、数据泄露等严重安全问题。漏洞影响Zabbix 6.0.0至6.0.31、6.4.0至6.4.16以及7.0.0等版本，奇安信鹰图资产测绘平台数据显示，全球范围内受影响资产数量巨大。官方已发布修复版本，建议受影响用户尽快升级至最新版本，并做好安全防护措施，以避免遭受攻击。

⚠️ **漏洞详情：** Zabbix的addRelatedObjects函数存在SQL注入漏洞，攻击者可通过API接口发送恶意请求，注入SQL代码，实现权限提升、数据泄露等危害。

💻 **影响范围：** 漏洞影响Zabbix 6.0.0至6.0.31、6.4.0至6.4.16以及7.0.0等多个版本，建议用户及时确认自身版本是否受影响。

🌐 **受影响资产：** 奇安信鹰图资产测绘平台数据显示，全球范围内受影响资产数量庞大，包括31748个国内风险资产和147854个全球风险资产，用户需高度重视。

🛡️ **处置建议：** 官方已发布修复版本，建议受影响用户尽快升级至Zabbix 6.0.32rc1、6.4.17rc1或7.0.1rc1等最新版本，并做好安全防护措施。

🔗 **参考资料：** 官方已发布漏洞修复公告，用户可访问官方网站获取更多信息并下载最新版本。

漏洞概述
漏洞名称	Zabbix SQL注入漏洞
漏洞编号	QVD-2024-48731,CVE-2024-42327
公开时间	2024-11-27	影响量级	十万级
奇安信评级	高危	CVSS 3.1分数	9.9
威胁类型	权限提升、代码执行	利用可能性	高
POC状态	已公开	在野利用状态	未发现
EXP状态	未公开	技术细节状态	未公开
危害描述：攻击者可以通过API接口，向_user.get_ API端点发送恶意构造的请求，注入SQL代码，以实现权限提升、数据泄露或系统入侵。

01 漏洞详情

影响组件

Zabbix 是一款开源的网络监控和报警系统，用于监视网络设备、服务器和应用程序的性能和可用性。

漏洞描述

近日，奇安信CERT监测到官方修复Zabbix SQL注入漏洞(CVE-2024-42327)，Zabbix的addRelatedObjects函数中的CUser类中存在SQL注入，此函数由 CUser.get 函数调用，具有API访问权限的用户可利用造成越权访问高权限用户敏感信息以及执行恶意SQL语句等危害。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

6.0.0 <= Zabbix <= 6.0.31

6.4.0 <= Zabbix <= 6.4.16

Zabbix 7.0.0

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Zabbix SQL注入漏洞(CVE-2024-42327) ，截图如下：

04 受影响资产情况

奇安信鹰图资产测绘平台数据显示，Zabbix SQL注入漏洞(CVE-2024-42327)关联的国内风险资产总数为31748个，关联IP总数为6852个。全球风险资产分布情况如下：

Zabbix SQL注入漏洞(CVE-2024-42327)关联的全球风险资产总数为147854个，关联IP总数为42656个。全球风险资产分布情况如下：

05 处置建议

安全更新

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Zabbix 6.0.* >= 6.0.32rc1

Zabbix 6.4.* >= 6.4.17rc1

Zabbix >= 7.0.1rc1

官方补丁下载地址：

https://www.zabbix.com/download

06 参考资料

[1]https://support.zabbix.com/browse/ZBX-25623

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。