Zabbix漏洞的详细情况如下:
| 漏洞编号 | 漏洞描述 | 影响版本 | 漏洞详情 |
| CVE-2024-22120 | Zabbix Server SQL注入漏洞 | Zabbix 6.0.0 6.0.27 Zabbix 6.4.0 6.4.12 Zabbix 7.0.0alpha1 7.0.0beta1 | 该漏洞存在于audit.c的zbx_auditlog_global_script函数中,由于clientip字段未经清理,可能导致SQL时间盲注攻击,经过身份验证的威胁者可利用该漏洞从数据库中获取敏感信息,并可能导致将权限提升为管理员或导致远程代码执行。 |
| CVE-2022-23131 | Zabbix登录绕过漏洞 | Zabbix Web 前端版本包括5.4.8、5.0.18、4.0.36、6.0.0alpha1 | 在启用SAML SSO身份验证的实例上,它允许绕过身份验证并获得管理员权限,攻击者可以使用此访问权限在链接的Zabbix Server和Zabbix Agent实例上执行任意命令。 |
| CVE-2020-11800 | Zabbix远程代码执行漏洞 | Zabbix 3.0.x~3.0.30 | 该漏洞存在于Zabbix的Server端trapper command功能中,由于修复补丁的缺陷,攻击者可以通过IPv6进行绕过并注入任意命令,导致远程代码执行。 |
| CVE-2024-22116 | Zabbix远程代码执行漏洞 | Zabbix 6.4.0 6.4.15 Zabbix 7.0.0alpha1 7.0.0rc2 | Zabbix在Ping脚本中存在代码注入漏洞,由于没有对输入的脚本参数进行默认转义或验证,具有受限权限的威胁者可构造特制输入,通过 Ping 脚本执行任意命令或代码。 |
| CVE-2023-32727 | Zabbix代码执行漏洞 | Zabbix 版本4.0.0 4.0.49 Zabbix 版本5.0.0 5.0.38 Zabbix 版本6.0.0 6.0.22 Zabbix 版本6.4.0 6.4.7 Zabbix 版本7.0.0alpha0 7.0.0alpha6 | 可以使用函数 icmpping() 以及其中的附加恶意命令在当前 Zabbix 服务器上执行任意代码。 |
表格详细列出了Zabbix的几个主要漏洞,包括漏洞编号、描述、影响的版本以及详细的漏洞信息,这些信息对于理解Zabbix的安全风险至关重要。
(图片来源网络,侵删)
小伙伴们,上文介绍zabbix 漏洞的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/66969.html
