ZabbixにSQL インジェクションが可能になる重大な脆弱性が発見される(CVE-2024-42327)
人気のOSSインフラ 監視ツールである Zabbix(ザビックス)に、CVSS スコア 9.9 の SQL インジェクションを行える重大な脆弱性 (CVE-2024-42327) が判明しました。この脆弱性により、攻撃者は権限を昇格して Zabbix インスタンスを完全に制御できるようになり、機密性の高い監視データや接続されたシステムを危険にさらす可能性があります。
12月4日追記:セキュリティ研究者の Alejandro Ramos 氏がこの脆弱性に対するPoCエクスプロイトを公開しました。広く公開する事により悪用される可能性もありますので、対象者はアップデートして対策する事をお勧めします。
影響を受けるバージョン
・6.0.0 – 6.0.31
・6.4.0 – 6.4.16
・7.0.0
対策
以下バージョン以上へアップデート
・6.0.32rc1
・6.4.17rc1
・7.0.1rc1
脆弱性の概要
Zabbix フロントエンドのデフォルトのユーザー ロール、または API アクセスを許可するその他のロールを持つ管理者以外のユーザー アカウントは、この脆弱性を悪用する可能性があります。
なお、CVSS スコア 9.9 と危険度の高い脆弱性です。
この脆弱性はHackerOne(バグ報奨金プラットフォーム)でMárk Rákóczi (reeeeeeeeeeee)氏によって発見されました。