提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      连续5年!美创再获中国网络安全产业联盟“先进会员单位”表彰

      2026-01-21

       2

      每周安全速递³⁷¹ | 勒索软件攻击导致心理健康机构超11万人数据泄露

      2026-01-06

       3

      四年同行,韧性共铸:西南某商行携手美创科技再度通过年度容灾大考

      2025-12-26

       4

      以“AI+数据安全”领雁!祝贺美创牵头项目入选浙江省科技厅“尖兵领雁”计划 !

      2025-12-22

       5

      美创AI灾备专家:引领灾备领域迈入“智能化”时代

      2025-12-15
      相关文章

      每周安全速递³⁷² | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

      2026-01-19

      每周安全速递³⁷¹ | 勒索软件攻击导致心理健康机构超11万人数据泄露

      2026-01-06

      Strix自动渗透测试平台搭建与使用

      2025-12-22

      每周安全速递³⁷⁰ | 勒索软件攻击导致心理健康机构超11万人数据泄露

      2025-12-19

      每周安全速递³⁶⁹ | 安卓勒索软件DroidLock针对西班牙语言用户进行攻击

      2025-12-15
      漏洞通告|高危!CVE-2024-22120 zabbix sql注入漏洞
      发布时间:2024-05-21 阅读次数: 2740 次

      漏洞描述

      zabbix是一个基于Web界面的开源网络监控和管理解决方案,主要用于监控网络设备、服务器和应用程序的运行状态。zabbix服务器在命令执行后,会在”审计日志”中添加审计记录。由于”clientip”字段未经过过滤,可能能够通过”clientip”字段进行时间盲注攻击。

      漏洞危险等级

      高危

      影响版本

      6.0.0 - 6.0.27

      6.4.0 - 6.4.12

      7.0.0alpha1 - 7.0.0beta1 



      漏洞复现

      本次漏洞复现环境zabbix 6.0.20通过VM虚拟机搭建:

      https://cdn.zabbix.com/zabbix/appliances/stable/6.0/6.0.20/zabbix_appliance-6.0.20-vmx.tar.gz

      图片


      漏洞POC链接如下

      https://support.zabbix.com/secure/attachment/236280/zabbix_server_time_based_blind_sqli.py

      图片


      漏洞功复现如下:

      图片


      修复建议

      将zabbix版本升级至不存在漏洞的版本



      上一条:每周安全速递²⁹⁵|勒索软件组织通过伪造PuTTy和WinSCP恶意广告针对Windows系统管理员发起攻击
      下一条:每周安全速递²⁹⁴|Singing River卫生系统遭遇勒索软件攻击导致895000条数据泄露
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部