Ein kritischer SQL-Injection-Fehler (CVE-2024-42327) wurde in der user.get-API von Zabbix identifiziert. Die Schwachstelle betrifft Nicht-Admin-Benutzer mit der Standardrolle „User“ oder jeder anderen Rolle, die API-Zugriff ermöglicht.
Der Fehler liegt in der CUser-Klasse, genauer in der Funktion addRelatedObjects, die von CUser.get aufgerufen wird. Angreifer mit API-Zugriff können durch diese Schwachstelle Berechtigungen eskalieren und möglicherweise sensible Daten exfiltrieren oder die Kontrolle über das System übernehmen.
- Betroffene Versionen:
- Zabbix 6.0.0 bis 6.0.31
- Zabbix 6.4.0 bis 6.4.16
- Zabbix 7.0.0
- Gefixte Versionen:
- Zabbix 6.0.32rc1
- Zabbix 6.4.17rc1
- Zabbix 7.0.1rc1
- Schweregrad: Kritisch (CVSS-Score: 9.9)
- CWE: CWE-89 (SQL Injection)
- CAPEC: CAPEC-233 (Privilege Escalation)
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: