Kritische SQL-Injection-Schwachstelle in Zabbix API entdeckt (CVE-2024-42327)
Ein kritischer SQL-Injection-Fehler (CVE-2024-42327) wurde in der user.get-API von Zabbix identifiziert. Die Schwachstelle betrifft Nicht-Admin-Benutzer mit der Standardrolle „User“ oder jeder anderen Rolle, die API-Zugriff ermöglicht.
Der Fehler liegt in der CUser-Klasse, genauer in der Funktion addRelatedObjects, die von CUser.get aufgerufen wird. Angreifer mit API-Zugriff können durch diese Schwachstelle Berechtigungen eskalieren und möglicherweise sensible Daten exfiltrieren oder die Kontrolle über das System übernehmen.
- Betroffene Versionen:
- Zabbix 6.0.0 bis 6.0.31
- Zabbix 6.4.0 bis 6.4.16
- Zabbix 7.0.0
- Gefixte Versionen:
- Zabbix 6.0.32rc1
- Zabbix 6.4.17rc1
- Zabbix 7.0.1rc1
- Schweregrad: Kritisch (CVSS-Score: 9.9)
- CWE: CWE-89 (SQL Injection)
- CAPEC: CAPEC-233 (Privilege Escalation)