A Zabbix egy népszerű nyílt forráskódú hálózat monitorozó szoftver, ami vállalati környezetekben való használatra is alkalmas.

A szoftver gyártója több sérülékenységet is javított, köztük egy olyan kritikus biztonsági besorolású biztonsági hibát (CVE-2024-42327), ami SQL injection típusú támadást tehet lehetővé a sérülékeny rendszeren. A biztonsági hiba a „CUser class” egy függvényét érinti, és bármilyen API hozzáférési jogosultságú felhasználói fiókkal kihasználható, ami az érintett rendszer teljes kompromittálódásához vezethet.

A sebezhetőségról a Qualys is közreadott egy rövid elemzést, amiből kiderül, hogy világszerte körülbelül 83 000 Zabbix szerver érhető el az internet felől.

Hibajavítás a 6.0.32rc1, 6.4.17rc1, és 7.0.1rc1 verziókban érhető el, utóbbi ráadásul egy DoS kondíciót okozó sebezhetőséget (CVE-2024-36462) is javít.

(forrás, forrás)