CVE-2024-42327

Nome do software vulnerável e versões afetadas:

Versões do Zabbix 6.0.0 a 6.0.31

Versões do Zabbix 6.4.0 a 6.4.16

Versão 7.0.0 do Zabbix

Descrição:

Uma conta de usuário não administrador no front-end do Zabbix com a função padrão de Usuário, ou com qualquer outra função que conceda acesso à API, pode explorar esta vulnerabilidade. Existe uma injeção de SQL na classe CUser na função addRelatedObjects, que é chamada a partir da função CUser.get. Esta função está disponível para todos os usuários que tenham acesso à API. A vulnerabilidade permite que invasores elevem privilégios e obtenham controle total do sistema enviando uma consulta SQL especialmente criada por meio da API. Mais de 143.000 serviços estão potencialmente afetados.

Recomendações:

Para as versões do Zabbix 6.0.0 a 6.0.31, atualize para a versão 6.0.32rc1 ou posterior.

Para as versões 6.4.0 a 6.4.16 do Zabbix, atualize para a versão 6.4.17rc1 ou posterior.

Para a versão 7.0.0 do Zabbix, atualize para a versão 7.0.1rc1 ou posterior.

Como solução temporária, considere restringir o acesso às funções CUser.get e addRelatedObjects até que um patch esteja disponível. Evite usar o endpoint da API que chama essas funções até que o problema seja resolvido.