ارائهدهنده نظارت بر اپلیکیشن و شبکه سازمانی منبع باز Zabbix به مشتریان در مورد آسیبپذیری حیاتی جدید هشدار داد که میتواند به مخاطره کامل سیستم منجر شود.
آسیبپذیری تزریق SQL با شناسه CVE-2024-42327 با امتیاز CVSS 9.9، میتواند توسط کاربران با دسترسی API و مجوز محدود مورد اکسپلویت قرار گیرد. در توضیحات پروژه درباره این نقص امنیتی توضیح داده شده است: «یک حساب کاربری غیر مدیریتی در Zabbix با نقش پیشفرض کاربر یا با هر نقش دیگری که به API دسترسی میدهد، میتواند از این آسیبپذیری سوء استفاده کند.
Zabbix گفت: “یک SQLi در کلاس CUser در تابع addRelatedObjects وجود دارد که از تابع CUser.get فراخوانی میشود و برای هر کاربری که دسترسی API دارد در دسترس است.” گفتنی است که سه نسخه 6.0.0…6.0.31 و 6.4.0…6.4.16 و 7.0.0 این محصول تحت تأثیر قرار گرفته است و ارتقاء به نسخههای 6.0.32rc1، 6.4.17rc1 و 7.0.1rc1، از کاربران در برابر حملات ارتقا سطح دسترسی محافظت میکند.
https://www.theregister.com/2024/11/29/zabbix_urges_upgrades_after_critical/
