SQL-инъекция в Zabbix

Дата публикации:	04.10.2013
Всего просмотров:	2304
Опасность:	Низкая
Наличие исправления:	Да
Количество уязвимостей:	2
CVSSv2 рейтинг:	7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C)
CVE ID:	CVE-2013-5743
Вектор эксплуатации:	Удаленная
Воздействие:	Неавторизованное изменение данных
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	ZABBIX 1.x Zabbix 2.x
	Уязвимые версии: Zabbix 1.8.2, 1.8.17 и 2.0.8, возможно другие версии Описание: Уязвимости позволяют удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. 1. Уязвимость существует из-за недостаточной обработки входных данных в нескольких параметрах и методах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Список методов и параметров: alert.get: time_from, time_till event.get: object, source, eventid_from, eventid_till graphitem.get: type graph.get: type graphprototype.get: type history.get: time_from, time_till trigger.get: lastChangeSince, lastChangeTill, min_severity triggerprototype.get: min_severity usergroup.get: status 2. Уязвимость существует из-за недостаточной обработки входных данных при добавлении определенных объектов в избранное. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. URL производителя: http://www.zabbix.com/ Решение: Установите исправление с сайта производителя.
Ссылки:	https://www.zabbix.com/forum/showthread.php?t=42586

SQL-инъекция в Zabbix

Подпишитесь на email рассылку