zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案。 由于zabbix默认开启了guest权限,且默认密码为空,导致zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞。攻击者利用漏洞无需登录即可获取网站数据库管理员权限,或通过script等功能直接获取zabbix服务器的操作系权限。
目前受影响的Zabbix-监控系统版本:
6.0.0 ≤ Zabbix server ≤ 6.0.27
6.4.0 ≤ Zabbix server ≤ 6.4.12
7.0.0alpha1 ≤ Zabbix server ≤ 7.0.0beta1
官方解决方案:
Zabbix官方已将发布新版本修复该漏洞,请在影响范围内的用户将Zabbix升级到最新版本。
