全部产品
云市场

【漏洞公告】Zabbix jsrpc.php SQL 注入漏洞

更新时间:2017-11-27 13:29:28

漏洞描述

Zabbix 是一款面向网络和应用的企业级开源监控软件。

Zabbix jsrpc.php 文件中的 profileIdx2 函数对部分参数过滤不严,导致攻击者可构造恶意请求,使用 Zabbix 中的 Guest 账号权限对网站实行 SQL 注入攻击,进而盗取网站数据,或进一步入侵服务器。

受影响范围

  • Zabbix 2.0.x
  • Zabbix 2.2.x
  • Zabbix 2.4.x
  • Zabbix 3.0.0 - 3.0.3

修复方案

  • 使用云盾 Web 应用防火墙 拦截此漏洞的攻击代码。

  • 通过 Zabbix 官网,升级 Zabbix 至最新版本。

  • 如果不需要使用 Guest 账号,建议禁用 Zabbix 中的 Guest 账号。