Zabbix 是一个基于 WEB 界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案，可以用来监控服务器、硬件、网络等。近日，监测到 Zabbix 发布安全公告，修复了 Zabbix 服务器 SQL 注入漏洞(CVE-2024-42327)，Zabbix 前端的 CUser 类中的 addRelatedObjects 函数未对输入数据进行充分验证和转义，addRelatedObjects 函数被 CUser.get 函数调用，Cuser.get 函数对任何拥有 API 访问权限的用户可用，故具有默认 user 角色的 Zabbix 前端的非 admin 用户帐户，或具有API 访问权限的任何其他角色都可以利用此漏洞。

漏洞编号 

CVE-2024-42327 

影响版本 

受影响版本：

 文档编号:HERCERT-SW-202412-18-02

第 2 页

6.0.0 <= Zabbix <= 6.0.31

6.4.0 <= Zabbix <= 6.4.16

Zabbix = 7.0.0

不受影响版本：

Zabbix >= 6.0.32rc1

Zabbix >= 6.4.17rc1

Zabbix >= 7.0.1rc1

防范措施 

受影响用户可升级到 Zabbix 6.0.32rc1、Zabbix 

6.4.17rc1、Zabbix 7.0.1rc1 或更高版本。

下载链接：

https://github.com/zabbix/zabbix/tags