Zabbix SQL注入漏洞 || 安全通告

　　免责声明

　　在网络安全领域，技术文章应谨慎使用，遵守法律法规，严禁非法网络活动。未经授权，不得利用文中信息进行入侵。使用本文信息造成的任何后果，由使用者自行承担，希客安全及作者不负责。提供的工具仅限学习使用，严禁他用。

　　CVE-2024-42327

　　一、漏洞描述

　　Zabbix的addRelatedObjects函数中的CUser类中存在SQL注入，此函数由 CUser.get 函数调用，具有API访问权限的用户可利用造成越权访问高权限用户敏感信息以及执行恶意SQL语句等危害。

　　二、影响版本

　　6.0.0 <= Zabbix <= 6.0.31

　　6.4.0 <= Zabbix <= 6.4.16

　　Zabbix 7.0.0

　　三、修复方案

　　目前官方已有可更新版本，建议受影响用户升级至最新版本：

　　Zabbix 6.0.* >= 6.0.32rc1

　　Zabbix 6.4.* >= 6.4.17rc1

　　Zabbix >= 7.0.1rc1

　　官方补丁下载地址：

　　https://www.zabbix.com/download

　　四、参考文献

　　https://support.zabbix.com/browse/ZBX-25623