Zabbix maant gebruikers aan meteen te upgraden omwille van een ernstige bug in het opensource-platform.
Het Zabbix-monitoringplatform is kwetsbaar voor een kritieke bug. CVE-2024-42327 laat gebruikers met lage privileges aan de front-end toe om via SQL-injectie die privileges te escaleren en eventueel lelijk huis te houden. Ook andere rollen met API-toegang kunnen de bug uitbuiten. De CVSS-score bedraagt gezien de ernst 9,9.
lees ook
Van je IT-omgeving en KPI’s tot je bloemen: waarom monitoring met Zabbix gratis blijft
Een patch is intussen beschikbaar. Zabbix vraagt gebruikers met aandrang om die meteen te installeren. Volgende edities van het opensource-platform zijn vatbaar voor de bug:
- 6.0.0 tot 6.0.31
- 6.4.0 tot 6.4.16
- 7.0.0
Een upgrade naar respectievelijk 6.0.32rc1, 6.4.17rc1 en 7.0.1rc1 brengt soelaas.
‘Onvergeeflijke
SQL-injecties bestaan al een eeuwigheid, en zijn eenvoudig uit te buiten. Daar staat tegenover dat het niet zo moeilijk is voor organisaties om dergelijke bugs plat te trappen voor software in productie gaat. De Amerikaanse FBI en CISA bestempelen SQL injectiebugs in het algemeen daarom als onvergeeflijk.
Zabbix deelt zelf meer details op zijn website. Nu de bug algemeen gekend is, dienen Zabbix-beheerders snel actie te ondernemen. Een hacker die op de één of andere manier inloggegevens van een gebruikersaccount kan bemachtigen, kan zijn toegang immers eenvoudig escaleren zolang het lek niet gedicht is.