Разбор CVE-2024-42327, Zabbix
В недавнем времени выдалась возможность поковыряться с SQL injection в Zabbix ( — свободная система мониторинга статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования, написанная Алексеем Владышевым).
Увидел несколько статьей на эту тему, которые кажется писал один и тот же человек, вкратце раскрыв детали уязвимости. Огромная благодарность этому человеку (или человекам), однако без дополнительного анализа и поиска информации не обошлось.
Статья — больше как инструкция для возможностей проверки и тестирования уязвимости. С использованием не только Burp, но и sqlmap, API самого Zabbix'a и найденные в открытом источнике эксплоиты.
Поехали!
SQL injection в API, edpoint user.get
Уязвимые версии Zabbix
6.0.0 - 6.0.31 (так же кажется где-то видел, что до 6.0.36 версии)
6.4.0 - 6.4.16
7.0.0
Источник: Хабрахабр
Похожие новости
- bit kogan: ЦБ снизил ставку — почему и что дальше?
- WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO
- Павел Сабуров: Как новичок на Ozon за месяц обогнал опытных продавцов мебели
- Absolute Zero Reasoner: ИИ научился программированию без входных данных — и это может поменять всё
- Мой начальник хочет no-code в проде. Я против — и готов уйти
- [Перевод] Как я «случайно» получил root-доступ к платёжному терминалу
- Программируя с использованием AI ты продаешь душу дьяволу
- Spark_news: Более 20% стартапов-«единорогов» с оценкой выше $1 млрд могут обанкротиться — Accel
- Наше расследование: ищем отечественные микросхемы в «отечественных» счетчиках электроэнергии. Часть 4 и снова блогер…
- Чудо-курсы с обещанием быстрых результатов: 200 лет рекламы, которая не меняется