Zabbix 是一個基于 WEB 界面的提供分布式系統監視以及網絡監視功能的企業級開源監控解決方案，可以用來監控服務器、硬件、網絡等。近日，監測到 Zabbix 發布安全公告，修復了 Zabbix 服務器 SQL 注入漏洞(CVE-2024-42327)，Zabbix 前端的 CUser 類中的 addRelatedObjects 函數未對輸入數據進行充分驗證和轉義，addRelatedObjects 函數被 CUser.get 函數調用，Cuser.get 函數對任何擁有 API 訪問權限的用戶可用，故具有默認 user 角色的 Zabbix 前端的非 admin 用戶帳戶，或具有API 訪問權限的任何其他角色都可以利用此漏洞。

漏洞編號 

CVE-2024-42327 

影響版本 

受影響版本：

 文檔編號:HERCERT-SW-202412-18-02

第 2 頁

6.0.0 <= Zabbix <= 6.0.31

6.4.0 <= Zabbix <= 6.4.16

Zabbix = 7.0.0

不受影響版本：

Zabbix >= 6.0.32rc1

Zabbix >= 6.4.17rc1

Zabbix >= 7.0.1rc1

防范措施 

受影響用戶可升級到 Zabbix 6.0.32rc1、Zabbix 

6.4.17rc1、Zabbix 7.0.1rc1 或更高版本。

下載鏈接：

https://github.com/zabbix/zabbix/tags