Origine : bjCSIRT
Numéro : 2024/ALERTE/084
Date de l’alerte : 04/12/2024
APERÇU :
Une vulnérabilité d’injection SQL découverte dans Zabbix permettrait à un acteur malveillant authentifié d’injecter des requêtes SQL sur les systèmes affectés et d’obtenir des privilèges supplémentaires.
DESCRIPTION :
Zabbix est une solution de supervision open-source qui permet de collecter, analyser et visualiser en temps réel les performances des serveurs, des applications et des réseaux.
Cet outil est affecté par une vulnérabilité libellée CVE-2024-42327, liée à une mauvaise validation des entrées dans le point de terminaison user.get dans l’API de Zabbix. L’exploitation de cette faille permettrait à un acteur malveillant authentifié ayant accès à l’API, d’injecter des requêtes SQL spécialement conçues dans la fonction addRelatedObjects pour accéder à des données sensibles et obtenir des privilèges supplémentaires.
Cette vulnérabilité est classée critique avec un score de sévérité de 9.9 selon le CVSS v3.1.
IMPACT :
- Atteinte à la confidentialité des données ;
- Compromission de l’intégrité du système ;
- Élévation de privilèges.
SYSTÈMES AFFECTÉS :
- Zabbix versions ultérieures à 6.0.0 et antérieures à 6.0.32 ;
- Zabbix versions ultérieures à 6.4.0 et antérieures à 6.4.17 ;
- Zabbix version 7.0.0.
MESURES À PRENDRE :
Mettre à jour Zabbix vers les versions 6.0.32rc1, 6.4.17rc1, 7.0.1rc1 ou ultérieures.
RÉFÉRENCES :