【漏洞通告】Zabbix远程代码执行漏洞（CVE-2024-22116）

文章预览

一、漏洞 概述 漏洞名称 Zabbix远程代码执行漏洞 CVE   ID CVE-2024-22116 漏洞类型 代码注入 发现时间 2024-08-13 漏洞评分 9.9 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案，可以用来监控服务器、硬件、网络等。在Zabbix监控系统中，管理员可以通过多种方式对主机进行监控，如使内置Ping功能和自定义Ping脚本来执行网络连通性检查。 2024年8月13日，启明星辰集团VSRC监测到Zabbix中修复了一个远程代码执行漏洞（CVE-2024-22116），该漏洞的CVSS评分为9.9。 Zabbix在Ping 脚本中存在代码注入漏洞，由于没有对输入的脚本参数进行默认转义或验证，具有受限权限的威胁者可构造特制输入，通过 Ping 脚本执行任意命令或代码。 二 ………………………………