Zabbix SQL注入漏洞技术分析与防护方案
2016年8月12日,1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,与官方通告的latest.php文件在处理toggle_ids参数时存在insert方式的SQL注入漏洞属于同一类型的漏洞,只是攻击的位置不同。
【预警通告】Zabbix SQL注入漏洞威胁
2016年8月12日,Zabbix软件被爆jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,同时官方公布修复了latest.php的toggle_ids参数insert方式的SQL注入漏洞,攻击者无需登录即可通过script等功能直接获取服务器的操作系统权限,经过分析发现Zabbix默认开启了guest权限,且默认密码为空。