Kritische Sicherheitslücke in Zabbix

Das Entwickler-Team der Open-Source-Monitoring-Software Zabbix veröffentlichte am 27. November 2024 eine Warnmeldung zur kritischen Schwachstelle CVE-2024-42327. CVE-2024-42327 hat einen CVSS-Score von 9.9/10 und betrifft die user.get-API-Schnittstelle von Zabbix. Die Sicherheitslücke ist über jedes Nutzerprofil mit API-Zugriff ausnutzbar.

Angreifenden ermöglicht CVE-2024-42327, einen SQL-Injection-Angriff durchzuführen. Bei dieser Angriffsart fügen die Kriminellen über manipulierte API-Anfragen schadhaften SQL-Code ein und verschaffen sich so Zugriff auf Systeme.

Folgende Versionen von Zabbix sind von der Sicherheitslücke betroffen:

• Zabbix 6.0.0 bis 6.0.31
• Zabbix 6.4.0 bis 6.4.16
• Zabbix 7.0.0

Das Entwickler-Team stellt die folgenden abgesicherten Versionen bereit, welche die Lücke schließen:

• Zabbix 6.0.32rc1
• Zabbix 6.4.17rc1
• Zabbix 7.0.1rc1

• Aktualisieren Sie Ihre Zabbix-Version umgehend auf eine der folgenden Versionen, je nach Konfiguration:
  • Zabbix 6.0.32rc1
  • Zabbix 6.4.17rc1
  • Zabbix 7.0.1rc1
• Prüfen und überwachen Sie alle Zabbix-Accounts sowie die Nutzerberechtigungen engmaschig und kontinuierlich.