Zabbix < 1.8.18rc1 / 2.0.9rc1 / 2.1.7 多种 SQL 注入
medium Nessus 插件 ID 70497
语言:
简介
远程 Web 应用程序可能受到多种 SQL 注入漏洞的影响。描述
根据其自我报告的版本号,在远程主机上监听的 Zabbix 实例的版本低于 1.8.18rc1 / 2.0.9rc1 / 2.1.7。因此,它可能受到多种 SQL 注入漏洞的影响。据报告,以下 API 方法和参数受到影响:- alert.get 参数:time_from、time_till
- event.get 参数:object、source、eventid_from、eventid_till
- graphitem.get 参数:type
- graph.get 参数:type
- graphprototype.get 参数:type
- history.get 参数:time_from, time_till
- trigger.get 参数:lastChangeSince、lastChangeTill、min_severity
- triggerprototype.get 参数:min_severity
- usergroup.get 参数:status
此外据报告,用于将图形或映射等对象添加到收藏的代码也受到 SQL 注入攻击的影响。据报告,“Monitoring”部分中的“Dashboard”、“Graphs”、“Maps”、“Latest data”和“Screens”页面受到影响。
请注意,Nessus 未测试这些问题,而是依赖于 Zabbix 登录页面中的版本。
解决方案
将 Zabbix 更新到版本 1.8.18rc1 / 2.0.9rc1 / 2.1.7 或更高版本。另见
http://www.nessus.org/u?1161f5f6
https://www.securityfocus.com/archive/1/528982/30/0/threaded
插件详情
严重性: Medium
ID: 70497
文件名: zabbix_frontend_1_8_18rc1.nasl
版本: 1.12
类型: remote
系列: CGI abuses
发布时间: 2013/10/18
最近更新时间: 2022/4/11
配置: 启用偏执模式, 启用彻底检查
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.9
矢量: AV:N/AC:M/Au:N/C:P/I:P/A:P
时间矢量: E:H/RL:OF/RC:C
漏洞信息
CPE: cpe:/a:zabbix:zabbix
必需的 KB 项: www/zabbix, Settings/ParanoidReport
可利用: true
易利用性: No exploit is required
补丁发布日期: 2013/10/2
漏洞发布日期: 2013/10/2
可利用的方式
Metasploit (Zabbix 2.0.8 SQL Injection and Remote Code Execution)
Elliot (Zabbix httpmon.php SQL Injection)
参考资料信息
CVE: CVE-2013-5743
BID: 62794