user.get API 中的 SQL 注入(CVE-2024-42327)
CVE编号
CVE-2024-42327
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-27
漏洞描述
Zabbix前端的一个非管理员用户账户,拥有默认用户角色或任何其他提供API访问权限的角色,可能会利用此漏洞。在CUser类的addRelatedObjects函数中存在一个SQL注入漏洞,此函数被具有API访问权限的每个用户都可以调用的CUser.get函数调用。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论