Zabbix SQL注入漏洞威胁预警通告

Zabbix软件被爆存在SQL注入漏洞，攻击者无需登录即可通过script等功能直接获取服务器的操作系统权限，经过分析发现Zabbix默认开启了guest权限，且默认密码为空。为了帮助广大用户尽快关注这个信息，本文将会持续关注这个漏洞。

• 攻击难度：低。
• 危害程度：高。
• 官方通告网站如下：
• https://support.zabbix.com/browse/ZBX-11023

什么是Zabbix？

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案，zabbix server可以通过SNMP，zabbix agent，ping，端口监视等方法提供对远程服务器/网络状态的监视，数据收集等功能，它可以运行在Linux，Solaris，HP-UX，AIX，Free BSD，Open BSD，OS X等平台上。

绿盟科技威胁预警级别

高级：影响范围比较广，危害严重，利用难度较低，7*24小时内部应急跟踪，24小时内完成技术分析、产品升级和防护方案。

影响的版本

• zabbix 2.0.5 2.0.13 2.2.x 2.4.2 2.4.5 2.4.7 2.4.8 2.5.0 3.0.0-3.0.3

不受影响的版本

• ZABBIX 1.8.* ，2.2.14，3.0.4，3.2.0。

修复方法

• 官方已经发布了新版本修复了此安全问题，请尽快升级到最新版本。官方下载地址如下：

http://www.zabbix.com/download.php

• 禁用guest账户。

绿盟科技安全团队会持续关注事态变化，后续会发布详细的分析报告、产品升级及解决方案，请广大用户随时关注。

Zabbix SQL注入漏洞在线扫描检测

点击下面的图片进入 Zabbix SQL注入漏洞在线扫描检测工具页面

绿盟科技威胁事件定级标准