漏洞详情
| CNVD编号 | CNVD-2017-05550 |
|---|---|
| 漏洞标题 | Zabbix存在远程代码执行和数据库写入漏洞 |
| 严重等级 | 高 |
| 影响产品 | Zabbix Zabbix >=2.4.7,<=2.4.8r1 |
| 漏洞类型 | 通用软硬件漏洞 |
| 发现时间 | 2017-04-28 |
| 公开时间 | 2017-04-28 |
| 发现者 | Lilith Wyatt of Cisco ASIG |
| 解决方案 | 厂商尚未提供漏洞修补方案,请关注厂商主页及时更新: http://www.zabbix.com http://blog.talosintelligence.com/2017/04/zabbix-multiple-vulns.html |
| 漏洞描述 | zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 Zabbix 2.4.x版本的trapper command功能存在远程代码执行漏洞,特定的数据包可造成命令注入,进而远程执行代码,攻击者可以从一个Zabbix proxy发起请求从而促发漏洞。 Zabbix 2.4.x版本的trapper功能存在数据库写入漏洞,特定的恶意trapper数据包可通过database的逻辑检查,造成数据库写入,攻击者可通过中间人的方式修改zabbix proxy和Server间的请求来触发漏洞。 |
返回漏洞库首页
