Zabbix Server send_history_last_id() SQL 插入
high Nessus Plugin ID 43391
語系:
概要
遠端監控服務有一個 SQL 插入弱點。說明
遠端主機上執行的 Zabbix 伺服器版本在「nodehistory.c」的「send_history_last_id()」函式中有一個 SQL 插入弱點。遠端攻擊者可藉由傳送特製的要求,利用此弱點來造成應用程式執行任意查詢。廠商已在 1.6.7 版中發布部分修正程式,但攻擊者仍有可能執行某些類型的 SQL 插入攻擊。
解決方案
升級至 Zabbix 1.6.8 或更新版本。另請參閱
https://support.zabbix.com/browse/ZBX-1031
https://support.zabbix.com/secure/attachment/11471/zbx-sqli-v2.py
Plugin 詳細資訊
嚴重性: High
ID: 43391
檔案名稱: zabbix_nodehistory_sqli.nasl
版本: 1.11
類型: remote
系列: Misc.
已發布: 2009/12/22
已更新: 2022/6/1
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2009/12/7
弱點發布日期: 2009/9/10
參考資訊
BID: 37309
Secunia: 37740