Peut-être que vous êtes concernés par cette vulnérabilité.
‼️ CVE-2024-42327: SQL injection in user.get API
⚠️ Un compte utilisateur non administrateur sur le frontend Zabbix avec le rôle Utilisateur par défaut, ou avec tout autre rôle donnant accès à l'API, peut exploiter cette vulnérabilité.
Une injection SQL est possible depuis la fonction addRelatedObjects.
Cette fonction est appelée à partir de la fonction CUser.get qui est disponible pour chaque utilisateur disposant d'un accès à l'API.
⚠️ Cela concerne les versions:
6.0.0 - 6.0.31
6.4.0 - 6.4.16
7.0.0
✅ Les versions suivantes corrigent ce problème:
6.0.32rc1
6.4.17rc1
7.0.1rc1
https://support.zabbix.com/browse/ZBX-25623
Restons vigilants.