漏洞描述
Zabbix 是一款面向网络和应用的企业级开源监控软件。
Zabbix jsrpc.php 文件中的 profileIdx2 函数对部分参数过滤不严,导致攻击者可构造恶意请求,使用 Zabbix 中的 Guest 账号权限对网站实行 SQL 注入攻击,进而盗取网站数据,或进一步入侵服务器。
受影响范围
- Zabbix 2.0.x
- Zabbix 2.2.x
- Zabbix 2.4.x
- Zabbix 3.0.0 - 3.0.3
修复方案
使用云盾 Web 应用防火墙 拦截此漏洞的攻击代码。
通过 Zabbix 官网,升级 Zabbix 至最新版本。
如果不需要使用 Guest 账号,建议禁用 Zabbix 中的 Guest 账号。