Se rendre au contenu

CVE-2024-42327

Peut-être que vous êtes concernés par cette vulnérabilité.


‼️ CVE-2024-42327: SQL injection in user.get API


⚠️ Un compte utilisateur non administrateur sur le frontend Zabbix avec le rôle Utilisateur par défaut, ou avec tout autre rôle donnant accès à l'API, peut exploiter cette vulnérabilité.

Une injection SQL est possible depuis la fonction addRelatedObjects.

Cette fonction est appelée à partir de la fonction CUser.get qui est disponible pour chaque utilisateur disposant d'un accès à l'API.


⚠️ Cela concerne les versions:

    6.0.0 - 6.0.31

    6.4.0 - 6.4.16

    7.0.0


✅ Les versions suivantes corrigent ce problème:

    6.0.32rc1

    6.4.17rc1

    7.0.1rc1


https://support.zabbix.com/browse/ZBX-25623


Restons vigilants.

TimescaleDB: Un problème d'affichage des graphes