Zabbix’de yeni kritik düzeydeki güvenlik açığı tespit edildi (CVE-2024-22120). CVSS puanı 9.1alan SQL enjeksiyon zafiyeti sistemlerde önemli bir risk oluşturuyor. İstismar edilmesi saldırganlara ayrıcalıkları yükseltme ve RCE’e izin veriyor.
Zafiyet, özellikle zbx_auditlog_global_script fonksiyonu içindeki audit.c dosyasında tespit edildi ve POC kodu da yayınlanmış durumda.
6.0.0’dan 6.4.12’ye kadar olan tüm Zabbix sürümleri ile 7.0.0alpha1’den 7.0.0beta1’e kadar olan sürümler zafiyetten etkilenmekte. Bu sürümleri kullanan organizasyonlar acil olarak güncelleme yapması gerekiyor.
Zabbix ekibi, 6.0.28rc1, 6.4.13rc1 ve 7.0.0beta2 sürümlerinde güvenlik açığını gideren yamaları yayınladı. Tüm Zabbix kullanıcılarının mümkün olan en kısa sürede bu yamalı sürümlere yükseltme yapmaları gerekmekte.