漏洞概述
CVE-2024-42327 是 Zabbix 的一个严重 SQL 注入漏洞,位于 CUser 类的 addRelatedObjects 函数中。
攻击者可以通过 user.get API 端点执行恶意 SQL 查询,无需特殊权限——任何有 API 访问权限的用户都可以利用此漏洞。
受影响版本
| 版本系列 | 受影响范围 |
|---|---|
| Zabbix 6.0.x | 6.0.0 ~ 6.0.31 |
| Zabbix 6.4.x | 6.4.0 ~ 6.4.16 |
| Zabbix 7.0.x | 7.0.0 |
漏洞危害
- 权限提升:普通用户可提升为管理员
- 数据泄露:访问监控数据、系统凭证
- 服务中断:通过 DoS 攻击影响监控系统可用性
修复方案
立即升级到修复版本:
| 当前版本 | 升级目标 |
|---|---|
| 6.0.x | 6.0.32rc1 或更高 |
| 6.4.x | 6.4.17rc1 或更高 |
| 7.0.x | 7.0.1rc1 或更高 |
下载地址:https://www.zabbix.com/download
升级步骤
# 备份数据库(重要!)
mysqldump zabbix > zabbix_backup_$(date +%Y%m%d).sql
# 停止 Zabbix Server
systemctl stop zabbix-server
# 升级软件包
yum update zabbix-server-mysql zabbix-web-mysql
# 启动服务
systemctl start zabbix-server
# 验证版本
zabbix_server -V
同批修复的其他漏洞
- CVE-2024-36466:Session Cookie 伪造漏洞
- CVE-2024-36462(仅 7.0.1rc1):不受控资源消耗导致 DoS
临时缓解措施
如果暂时无法升级,可以:
- 限制 Zabbix API 的访问 IP 范围
- 禁用不必要的 API 用户账号
- 加强网络层访问控制
强烈建议尽快升级,临时措施不能完全消除风险。