【漏洞通告】Zabbix服务器SQL注入漏洞（CVE-2024-42327）

主要观点总结

关于Zabbix服务器存在的SQL注入漏洞通告。

关键观点总结

关键观点1: 漏洞概述与影响范围

Zabbix服务器存在一个SQL注入漏洞（CVE-2024-42327），攻击者可利用该漏洞获取目标系统敏感数据。漏洞影响特定版本的Zabbix服务器，包括6.0.0至6.0.31、6.4.0至6.4.16版本。CVSS评分9.9，目前漏洞PoC已公开。

关键观点2: 漏洞成因

该漏洞是由于Zabbix服务器中的addRelatedObjects函数中的CUser类存在SQLi漏洞，具有默认用户权限或API访问权限的攻击者可调用CUser.get函数，从而越权访问敏感信息或执行任意SQL语句。

关键观点3: 官方建议措施

官方已发布新版本修复该漏洞，受影响的用户应尽快升级版本进行防护。同时，用户应注意遵循安全公告中的声明，确保合法、合规地使用安全公告信息。