Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2024-22120 – già sanata dal vendor – presente in Zabbix, soluzione open source per il monitoraggio di reti e vari sistemi informatici. Tale vulnerabilità, relativa alla componente Audit Log, potrebbe consentire a un utente malintenzionato l’esecuzione di attacchi di tipo “SQL Injection” sul server Zabbix.

Tipologia

• Data Manipulation

Prodotti e versioni affette

Zabbix

• dalla versione 6.0.0 alla 6.0.27 (inclusa)
• dalla versione 6.4.0 alla 6.4.12 (inclusa)
• versione 7.0.0alpha1

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.

Identificatori univoci vulnerabilità

CVE-2024-22120

Riferimenti

https://support.zabbix.com/browse/ZBX-24505

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.