Zabbix conseille vivement aux utilisateurs de procéder à une mise à jour immédiate en raison d’un grave bogue dans la plateforme open source.
La plateforme de surveillance Zabbix est vulnérable à un bogue critique. CVE-2024-42327 permet aux utilisateurs ayant de faibles privilèges sur le front-end d’utiliser l’injection SQL pour élever ces privilèges et éventuellement causer un chaos complet. D’autres rôles ayant accès à l’API peuvent également exploiter le bogue. Compte tenu de sa gravité, le score CVSS est de 9.9.
Le correctif est maintenant disponible. Zabbix invite les utilisateurs à l’installer immédiatement. Les éditions ultérieures de la plateforme open source sont susceptibles d’être affectées par le bogue :
- 6.0.0 à 6.0.31
- 6.4.0 à 6.4.16
- 7.0.0
Une mise à jour vers les versions 6.0.32rc1, 6.4.17rc1 et 7.0.1rc1 respectivement résout le problème.
Impardonnable
Les injections SQL existent depuis toujours et sont faciles à exploiter. D’autre part, il n’est pas très difficile pour les organisations d’éliminer ces bogues avant que le logiciel ne soit mis en production. C’est pourquoi le FBI et la CISA qualifient généralement les injections SQL d’impardonnable.
Zabbix elle-même donne plus de détails sur son site web. Maintenant que le bogue est largement connu, les administrateurs de Zabbix devraient prendre des mesures rapides. Après tout, un pirate qui parvient à obtenir les identifiants de connexion d’un compte utilisateur peut facilement étendre son accès tant que la fuite n’est pas colmatée.