Podatność typu SQL injection (SQLi) w oprogramowaniu Zabbix pozwala każdemu użytkownikowi posiadającemu dostęp do API na wykonanie złośliwych zapytań SQL. Ze względu na niskie wymagania dotyczące uprawnień oraz krytyczny wynik CVSS 9.9, zagrożenie jest poważne dla każdej instalacji Zabbix z włączonym API.
▸ Pokaż oryginał (EN)
A non-admin user account on the Zabbix frontend with the default User role, or with any other role that gives API access can exploit this vulnerability. An SQLi exists in the CUser class in the addRelatedObjects function, this function is being called from the CUser.get function which is available for every user who has API access.
Błąd znajduje się w klasie CUser, w metodzie addRelatedObjects, która jest wywoływana przez funkcję CUser.get. Funkcja CUser.get jest dostępna dla każdego użytkownika mającego dostęp do API, w tym kont z domyślną rolą User. Dane wejściowe przekazywane do tej funkcji nie są odpowiednio walidowane ani parametryzowane, co umożliwia wstrzyknięcie arbitralnego kodu SQL po stronie serwera bazodanowego.
Atakujący z dostępem do API Zabbix może wykonywać dowolne zapytania SQL w bazie danych, co może prowadzić do ujawnienia poufnych danych, modyfikacji danych oraz potencjalnego przejęcia pełnej kontroli nad systemem (privilege escalation, RCE w sprzyjających konfiguracjach).
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://support.zabbix.com/browse/ZBX-25623). Jako środek tymczasowy zaleca się ograniczenie dostępu do API Zabbix wyłącznie do zaufanych kont administracyjnych oraz zablokowanie dostępu do frontendu Zabbix z niezaufanych sieci na poziomie firewall.
Zabbix – wersje wskazane w referencjach producenta; podatne są instalacje, w których użytkownicy z domyślną rolą User lub inną rolą z dostępem do API mają możliwość korzystania z frontendu Zabbix.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HZabbix
APPZabbix6.0.0 – 6.0.32 (bez)6.4.0 – 6.4.17 (bez)7.0.0 – 7.0.1 (bez)
Powiązane podatności
In the case of instances where the SAML SSO authentication is enabled (non-default), session data can be modif...
Zabbix: niekodowane nagłówki HTTP umożliwiają dostęp do ukrytych właściwości obiektów
Zabbix: modyfikacja wskaźników pamięci w silniku JavaScript (RCE/DoS)
Zabbix: RCE przez brak escapowania parametrów skryptu Ping
Zabbix Server — time-based blind SQL injection przez pole clientip