ZabbixにSQL インジェクションが可能になる重大な脆弱性が発見される(CVE-2024-42327)

Zabbix に重大な SQL インジェクションの脆弱性が発見される(CVE-2024-42327)

人気のOSSインフラ 監視ツールである Zabbix(ザビックス)に、CVSS スコア 9.9 の SQL インジェクションを行える重大な脆弱性 (CVE-2024-42327) が判明しました。この脆弱性により、攻撃者は権限を昇格して Zabbix インスタンスを完全に制御できるようになり、機密性の高い監視データや接続されたシステムを危険にさらす可能性があります。

12月4日追記:セキュリティ研究者の Alejandro Ramos 氏がこの脆弱性に対するPoCエクスプロイトを公開しました。広く公開する事により悪用される可能性もありますので、対象者はアップデートして対策する事をお勧めします。

影響を受けるバージョン

・6.0.0 – 6.0.31 
・6.4.0 – 6.4.16 
・7.0.0 

対策

以下バージョン以上へアップデート

・6.0.32rc1
・6.4.17rc1
・7.0.1rc1

脆弱性の概要

Zabbix フロントエンドのデフォルトのユーザー ロール、または API アクセスを許可するその他のロールを持つ管理者以外のユーザー アカウントは、この脆弱性を悪用する可能性があります。

なお、CVSS スコア 9.9 と危険度の高い脆弱性です。

この脆弱性はHackerOne(バグ報奨金プラットフォーム)でMárk Rákóczi (reeeeeeeeeeee)氏によって発見されました。

 

TOPへ