Kritische SQL-Injection-Schwachstelle in Zabbix API entdeckt (CVE-2024-42327)

Am 27. November 2024 bestätigte Zabbix eine schwerwiegende SQL-Injection (SQLi)-Schwachstelle in der user.get API. Diese Schwachstelle betrifft die Zabbix-API und ermöglicht es Angreifern, SQL-Injektionen auszuführen, die zu Privilegieneskalationen führen können. Die Sicherheitslücke wurde unter der CVE-2024-42327-Kennung erfasst und erhielt eine hohe CVSS-Bewertung von 9.9 (kritisch).

Die Schwachstelle wurde in der CUser-Klasse der Zabbix-API entdeckt. Sie tritt auf, wenn die addRelatedObjects-Funktion aus der CUser.get-Methode heraus aufgerufen wird. Diese Methode ist allen Nutzern zugänglich, die über die Zabbix-API zugreifen können, was bedeutet, dass Angreifer mit lediglich Benutzerrechten (also ohne Administratorzugang) in der Lage sind, SQL-Injektionen auszuführen.

SQL-Injektionen erlauben es Angreifern, Datenbankabfragen zu manipulieren, um unbefugten Zugriff auf Daten zu erlangen, oder im schlimmsten Fall die Kontrolle über die Datenbank zu übernehmen. In diesem Fall können Angreifer die Berechtigungen eines normalen Nutzers erweitern und sich somit möglicherweise Administratorrechte verschaffen.

Die Schwachstelle betrifft insbesondere nicht-administrative Benutzerkonten auf der Zabbix-Frontend-Oberfläche, die mit der Standardrolle “User” oder jeder anderen Rolle, die API-Zugriff gewährt, ausgestattet sind. Da diese Sicherheitslücke über die API ausgenutzt werden kann, ist der Angriff auch über das Netzwerk möglich, was das Risiko zusätzlich erhöht.

Die CVE-2024-42327-Schwachstelle kann zu Privilegieneskalation führen, wobei Angreifer ihre eigenen Rechte auf Administratorlevel erhöhen können, um Zugriff auf sensible Zabbix-Daten oder Konfigurationen zu erhalten.

Die Sicherheitslücke betrifft mehrere Versionen von Zabbix. Zu den betroffenen Versionen gehören:

  • Zabbix 6.0.0 bis 6.0.31
  • Zabbix 6.4.0 bis 6.4.16
  • Zabbix 7.0.0

Related Posts

Kritische ProjectSend-Sicherheitslücke CVE-2024-11680 wird aktiv ausgenutzt

Die Schwachstelle CVE-2024-11680 in der Open-Source-Dateifreigabeplattform ProjectSend wird aktuell in der Wildnis ausgenutzt. Obwohl ein Patch seit Mai 2023 verfügbar ist, haben 99 % der Instanzen die Sicherheitslücke nicht behoben.

Read More

Zertifikatsvalidierungsproblem in der Palo Alto Networks GlobalProtect App

Am 26. November 2024 wurde die Sicherheitslücke CVE-2024-5921 in der Palo Alto Networks GlobalProtect App veröffentlicht, die auf eine unzureichende Validierung von Zertifikaten zurückzuführen ist. Diese Schwachstelle kann von Angreifern ausgenutzt werden, um Root-Zertifikate zu manipulieren und Privilegien zu eskalieren. Die Schwachstelle wird als mittelschwer (Severity 5.6 / MEDIUM) eingestuft.

Read More

VMware veröffentlicht Sicherheitsupdates für Aria Operations (VMSA-2024-0022)

Am 26. November 2024 hat VMware wichtige Updates für VMware Aria Operations veröffentlicht, um mehrere Schwachstellen (CVE-2024-38830 bis CVE-2024-38834) zu beheben. Diese Schwachstellen haben eine Schweregradbewertung von 6.5 bis 7.8 (wichtig). Administratoren sollten die Version 8.18.2 sofort installieren, um potenzielle Angriffe zu verhindern. Betroffen sind VMware Aria Operations 8.x, 5.x, 4.x (alle Plattformen).

Read More