Vulnérabilité d’injection SQL affectant Zabbix

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/084

Date de l’alerte : 04/12/2024

APERÇU :

Une vulnérabilité d’injection SQL découverte dans Zabbix permettrait à un acteur malveillant authentifié d’injecter des requêtes SQL sur les systèmes affectés et d’obtenir des privilèges supplémentaires. 
 

DESCRIPTION :

Zabbix est une solution de supervision open-source qui permet de collecter, analyser et visualiser en temps réel les performances des serveurs, des applications et des réseaux.  

Cet outil est affecté par une vulnérabilité libellée CVE-2024-42327, liée à une mauvaise validation des entrées dans le point de terminaison user.get dans l’API de Zabbix. L’exploitation de cette faille permettrait à un acteur malveillant authentifié ayant accès à l’API, d’injecter des requêtes SQL spécialement conçues dans la fonction addRelatedObjects pour accéder à des données sensibles et obtenir des privilèges supplémentaires. 

Cette vulnérabilité est classée critique avec un score de sévérité de 9.9 selon le CVSS v3.1. 

IMPACT :

  • Atteinte à la confidentialité des données ;  
  • Compromission de l’intégrité du système 
  • Élévation de privilèges.

  SYSTÈMES AFFECTÉS : 

  • Zabbix versions ultérieures à 6.0.0 et antérieures à 6.0.32 ;  
  • Zabbix versions ultérieures à 6.4.0 et antérieures à 6.4.17 ; 
  • Zabbix version 7.0.0. 

MESURES À PRENDRE :

Mettre à jour Zabbix vers les versions 6.0.32rc1, 6.4.17rc1, 7.0.1rc1 ou ultérieures. 

 RÉFÉRENCES :

Partagez sur vos réseaux.