Zabbix軟件被爆存在SQL注入漏洞，攻擊者無需登錄即可通過script等功能直接獲取服務器的操作系統權限，經過分析發現Zabbix默認開啟了guest權限，且默認密碼為空。為了幫助廣大用戶盡快關注這個信息，本文將會持續關注這個漏洞。

• 攻擊難度：低。
• 危害程度：高。
• 官方通告網站如下：
• https://support.zabbix.com/browse/ZBX-11023

什么是Zabbix？

Zabbix是一個基于WEB界面的提供分布式系統監視以及網絡監視功能的企業級開源解決方案，zabbix server可以通過SNMP，zabbix agent，ping，端口監視等方法提供對遠程服務器/網絡狀態的監視，數據收集等功能，它可以運行在Linux，Solaris，HP-UX，AIX，Free BSD，Open BSD，OS X等平臺上。

綠盟科技威脅預警級別

高級：影響范圍比較廣，危害嚴重，利用難度較低，7*24小時內部應急跟蹤，24小時內完成技術分析、產品升級和防護方案。

影響的版本

• zabbix 2.0.5 2.0.13 2.2.x 2.4.2 2.4.5 2.4.7 2.4.8 2.5.0 3.0.0-3.0.3

不受影響的版本

• ZABBIX 1.8.* ，2.2.14，3.0.4，3.2.0。

修復方法

• 官方已經發布了新版本修復了此安全問題，請盡快升級到最新版本。官方下載地址如下：

http://www.zabbix.com/download.php

• 禁用guest賬戶。

綠盟科技安全團隊會持續關注事態變化，后續會發布詳細的分析報告、產品升級及解決方案，請廣大用戶隨時關注。

Zabbix SQL注入漏洞在線掃描檢測

點擊下面的圖片進入?Zabbix SQL注入漏洞在線掃描檢測工具頁面

綠盟科技威脅事件定級標準

級別	描述
高	影響范圍比較廣，危害嚴重，利用難度較低，7*24小時內部應急跟蹤，24小時內完成技術分析、產品升級和防護方案。
中	影響范圍可控，危害程度可控，利用難度較高，7*8小時內部應急跟蹤，72小時內完成技術分析、產品升級和防護方案。
低	影響較小，危害程度較小。

原文發布時間：2017年3月24日 本文由：綠盟科技 發布，版權歸屬于原作者 原文鏈接：http://toutiao.secjia.com/zabbix-sql-injection-vulnerabilities-threat-warning 本文來自云棲社區合作伙伴安全加，了解相關信息可以關注安全加網站

總結

以上是生活随笔為你收集整理的Zabbix SQL注入漏洞威胁预警通告的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。