Zabbix 是一种广泛采用的企业级 IT 基础设施监控开源解决方案,它披露了一个可能导致整个系统被入侵的严重安全漏洞。该漏洞被标识为CVE-2024-22116,CVSS 严重性评分为9.9,强调如果不加以解决,可能会产生严重后果。
Zabbix 以其监控各种 IT 资源的能力而闻名,从简单的应用程序到复杂的大型环境。然而,这种灵活性也为严重的安全漏洞打开了大门。该漏洞存在于监控主机部分的脚本执行功能中,具体涉及 Ping 脚本。
在受影响的版本中,权限受限的管理员可以利用脚本参数缺乏默认转义的漏洞。此疏忽允许管理员通过 Ping 脚本执行任意代码,从而可能导致整个基础设施受损。鉴于 Zabbix 通常部署在关键任务环境中,此类漏洞的影响可能是毁灭性的。
该漏洞影响Zabbix的以下版本:
6.4.0 至 6.4.15
7.0.0alpha1 至 7.0.0rc2
Zabbix 已在以下修复版本中解决此问题:
6.4.16rc1
7.0.0rc3
强烈建议管理员尽快更新到这些版本,以降低被利用的风险。
此漏洞的影响深远。如果成功利用,攻击者将能够执行任意代码,从而有效控制 Zabbix 服务器。从那里,攻击者可以对受监控的基础设施发起进一步攻击,导致数据泄露、服务中断,甚至完全接管网络。
鉴于 Zabbix 在监控和管理企业环境中发挥的关键作用,此漏洞的利用可能会导致服务可用性、数据完整性和机密性的严重损失。
CVE-2024-22116 的发现归功于名为“justonezero”的安全研究员,他通过 HackerOne 漏洞赏金平台负责任地披露了该漏洞。
详情:
