Zabbix SQL注入漏洞威胁预警通告

最新推荐文章于 2023-12-27 16:03:32 发布
最新推荐文章于 2023-12-27 16:03:32 发布
阅读量151 收藏
点赞数
文章标签: 运维 php 操作系统
原文链接:https://yq.aliyun.com/articles/208040
版权

Zabbix软件被爆存在SQL注入漏洞,攻击者无需登录即可通过script等功能直接获取服务器的操作系统权限,经过分析发现Zabbix默认开启了guest权限,且默认密码为空。为了帮助广大用户尽快关注这个信息,本文将会持续关注这个漏洞。

什么是Zabbix?

Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源解决方案,zabbix server可以通过SNMP,zabbix agent,ping,端口监视等方法提供对远程服务器/网络状态的监视,数据收集等功能,它可以运行在Linux,Solaris,HP-UX,AIX,Free BSD,Open BSD,OS X等平台上。

绿盟科技威胁预警级别

高级:影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。

影响的版本

  • zabbix 2.0.5 2.0.13 2.2.x 2.4.2 2.4.5 2.4.7 2.4.8 2.5.0 3.0.0-3.0.3

不受影响的版本

  • ZABBIX 1.8.* ,2.2.14,3.0.4,3.2.0。

修复方法

  • 官方已经发布了新版本修复了此安全问题,请尽快升级到最新版本。官方下载地址如下:

http://www.zabbix.com/download.php

  • 禁用guest账户。

绿盟科技安全团队会持续关注事态变化,后续会发布详细的分析报告、产品升级及解决方案,请广大用户随时关注。

Zabbix SQL注入漏洞在线扫描检测

点击下面的图片进入 Zabbix SQL注入漏洞在线扫描检测工具页面

绿盟科技威胁事件定级标准

级别

描述

影响范围比较广,危害严重,利用难度较低,7*24小时内部应急跟踪,24小时内完成技术分析、产品升级和防护方案。

影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。

影响较小,危害程度较小。


原文发布时间:2017年3月24日
本文由:绿盟科技 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/zabbix-sql-injection-vulnerabilities-threat-warning
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
weixin_34244102
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zabbix下SqlServer监控清单和预警清单.xlsx
10-28
zabbix下SqlServer监控清单和预警清单.xlsx
zabbix5.0rpm包和sql文件.rar
12-05
本文将详细介绍如何在CentOS7上使用提供的RPM包和SQL文件安装Zabbix 5.0,并将其与MySQL数据库集成。 首先,我们关注的是标题中的"zabbix5.0rpm包",这指的是用于在Linux系统上安装Zabbix 5.0的预编译软件包。RPM...
请注意!Zabbix高危SQL注入漏洞分析
weixin_34395205的博客
10-18 471
0x01 漏洞概述zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,***者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器操作系统权限。 但是无需登录注入这里有个前提,就是zabbix开启了guest权限。而在zabbix中,guest的默认密码为空。...
漏洞复现----26、Zabbix latest.php SQL注入漏洞(CVE-2016-10134)
七天
06-28 711
一、Zabbix概述 Zabbix 是一个企业级分布式开源监控解决方案。Zabbix 软件能够监控众多网络参数和服务器的健康度、完整性。 Zabbix由以下组件组成: 1、Server:Zabbix server 是 Zabbix软件的核心组件,agent 向其报告可用性、系统完整性信息和统计信息。server也是存储所有配置信息、统计信息和操作信息的核心存储库。 2、数据库:所有配置信息以及 Zabbix 采集到的数据都被存储在数据库中。 3、Web 界面为了从任何地方和任何平台轻松访问 Zabbix
漏洞预警zabbix再爆高危SQL注入漏洞,可获操作系统权限
寒江的专栏
08-18 1320
漏洞概述 zabbix是一个开源的企业级性能监控解决方案。 官方网站 http://www.zabbix.com zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器操作系统权限。 影响程度 攻击成本:低 危害程度
zabbix latest.php SQL注入漏洞(CVE-2016-10134)
EC_Carrot的博客
08-21 403
漏洞简介 Zabbix是拉脱维亚Zabbix SIA公司的一套开源的监控系统。该系统可监视各种网络参数,并提供通知机制让系统管理员快速定位、解决存在的各种问题。 Zabbix 2.2.14之前的版本和3.0.4之前的3.0版本中存在SQL注入漏洞。远程攻击者可借助latest.php文件中的‘toggle_ids’数组参数利用该漏洞执行任意SQL命令。 漏洞复现 访问http://your-ip:8080,用账号guest(密码为空)登录游客账户。 登录后,查看Cookie中的zbx_sessionid,复
zabbix 爆高危 SQL 注入漏洞,可获系统权限(profileIdx 2 参数)
anwar2005的博客
09-15 371
漏洞概述 zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器操作系统权限。 影响程度 攻击成本:低 危害程度:高 是否登陆:不需要 影响范围:...
sql注入漏洞
weixin_48300170的博客
07-26 463
sql注入漏洞什么是sql注入xss攻击的危害xss漏洞的类型xss漏洞攻击分析xss攻击的防御 什么是sql注入       SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。产生的原因是接受相关参数未经处理直接带入数据库查询操作。xss属于客户端的攻击,而sql注入属于服务端的攻
zabbix下SqlServer监控指标清单.docx
10-28
在IT监控领域,Zabbix是一个广泛使用的开源监控解决方案,它能够有效地监测各种IT基础设施,包括数据库服务器如SQL Server。在Zabbix中,监控SQL Server的关键性能指标有助于确保数据库的稳定性和高效率。以下是一些...
zabbix-latest.php-SQL注入漏洞(CVE-2016-10134)
m0_51186260的博客
06-21 955
zabbix-latest.php-SQL注入漏洞
zabbix(sql注入判断脚本)
weixin_30562507的博客
08-18 77
zabbix(sql注入判断脚本) #-*-coding:utf-8-*- # code by anyun.org import urllib import re def getHtml(url): page = urllib.urlopen(url) html = page.read() html = html.replace('\n', '') ...
Zabbix sql注入漏洞(CVE-2016-10134)
最新发布
m0_65150886的博客
12-27 917
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle idsI或isrpc.php种的profieldx2参数存在sql注入,通过sql注入获取管理员账户密码,进入后台,进行getshel操作。3.登录后,查看Cookie中的zbx_sessionid,复制后16位字符。6.利用jsrpc的profileIdx2参数sql注入获取用户名和密码。5.在攻击机访问的zabbix的地址后面加上如下url。
[CVE-2016-10134]zabbix sql注入实测
Delphinidae
11-19 304
参考链接:vulhub 目的:熟悉和复现该漏洞做治理内部发现的漏洞 漏洞注入点:profileIdx2 漏洞路由:/jsrpc.php这个文件 漏洞环境:搭建vulhub docker环境 用brupsuite 抓包开始复现漏洞,确认漏洞是否存在,那当前用户数据用户名 user(),可见有root用户返回,证明漏洞存在。 报错注入的漏洞存在。 sql注入漏洞存在,下一步是取出关键信息,zabbix取出Admin的密码就可以控制该系统的所有主机了,那么开始取数据,通过zabbix相关信息查到登陆用户密码
Zabbix漏洞及其利用姿势(附EXP)
LDF-Dicky的博客
09-27 7275
该话题转载集合于下面几家博客 http://netsecurity.51cto.com/art/201609/518164.htm?pc http://bbs.77169.com/read-htm-tid-354585.html 漏洞概述: zabbix是一个开源的企业级性能监控解决方案。  官方网站:http://www.zabbix.com zabbix的jsrpc的pro
ZABBIX 存在高危漏洞,尽快修补
weixin_33948416的博客
08-18 535
8月16日,由三矛科技的外部威胁情报检测模块在fulldisclosure发现8月17日,三矛科技通过微信公众号对该漏洞首次正式预警漏洞概述zabbix是一个开源的企业级性能监控解决方案。官方网站:http://www.zabbix.comzabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,***者无需授权登陆即可登陆zabbix管理系统...
Zabbix SQL注入漏洞技术分析与防护方案
weixin_34253539的博客
09-01 420
Zabbix软件被爆存在SQL注入漏洞,经过分析发现Zabbix默认开启了guest权限,且默认密码为空。随后Zabbix V3.0.4版本修复了2个SQL注入漏洞,本文对其公布的PoC进行分析,并给出检测及防护方案。 Zabbix公布了2个POC,如下: /zabbix/jsrpc.php?sid=0bcd4ade648214dc&t...
mysql中添加字段
热门推荐
m0_54850467的博客
09-11 4万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
zabbix+sql
07-28
当涉及到与SQL数据库的集成时,Zabbix可以使用SQL查询来获取和展示监控数据。它支持多种数据库后端,包括MySQL、PostgreSQL和Oracle等。通过配置Zabbix的数据库监控项,可以定期执行SQL查询并将结果作为监控数据进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值