Разбор CVE-2024-42327, Zabbix
В недавнем времени выдалась возможность поковыряться с SQL injection в Zabbix ( — свободная система мониторинга статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования, написанная Алексеем Владышевым).
Увидел несколько статьей на эту тему, которые кажется писал один и тот же человек, вкратце раскрыв детали уязвимости. Огромная благодарность этому человеку (или человекам), однако без дополнительного анализа и поиска информации не обошлось.
Статья — больше как инструкция для возможностей проверки и тестирования уязвимости. С использованием не только Burp, но и sqlmap, API самого Zabbix'a и найденные в открытом источнике эксплоиты.
Поехали!
SQL injection в API, edpoint user.get
Уязвимые версии Zabbix
6.0.0 - 6.0.31 (так же кажется где-то видел, что до 6.0.36 версии)
6.4.0 - 6.4.16
7.0.0
Источник: Хабрахабр
Похожие новости
- Берём анализы на болезни TLS у Гемотеста
- Магия KNOX и её разоблачение: изучаем OEMConfig от Samsung
- Работа с JWT-токенами в браузере без боли и страданий
- Каждая третья крупная компания в России работает с фрилансерами на постоянной основе
- Пентестерская Одиссея. Часть 2
- Начинаем в багбаунти: топ-10 (или нет?) инструментов для профессионального похека
- Почтовая корова? Как поднять свой почтовый сервер Mailcow
- Spark_news: Инженеры компании «Дронсхаб» представили отечественного робота-курьера под названием «Белка»
- [Перевод] SonarQube: базовая настройка и анализ качества кода с помощью FastAPI
- bit kogan: Сегодня Банк России опустит ставку. Как отреагирует рынок?