Zabbix user.get API SQL 注入漏洞

• 漏洞编号：CVE-2024-42327
  
• 漏洞类型：权限提升、代码执行
• 漏洞等级：高危
• 发布时间：2024-11-27

漏洞描述：

zabbix（[`zæbiks]）是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。

Zabbix的addRelatedObjects函数中的CUser类中存在SQL注入，此函数由 CUser.get 函数调用，具有API访问权限的用户可利用造成越权访问高权限用户敏感信息以及执行恶意SQL语句等危害。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：

Zabbix 6.0.* >= 6.0.32rc1

Zabbix 6.4.* >= 6.4.17rc1

Zabbix >= 7.0.1rc1

官方补丁下载地址：

https://www.zabbix.com/download

参考链接:
https://support.zabbix.com/browse/ZBX-25623