Zabbix invite les utilisateurs à effectuer une mise à jour immédiate en raison d’un grave bogue dans la plateforme open source.
La plateforme de surveillance Zabbix est vulnérable à un bogue critique. CVE-2024-42327 permet aux utilisateurs ayant de faibles privilèges sur le front-end d’utiliser l’injection SQL pour escalader ces privilèges et éventuellement garder la maison moche. D’autres rôles ayant accès à l’API peuvent également exploiter le bogue. Compte tenu de sa gravité, le score CVSS est de 9.9.
lire aussi
Zabbix vulnérable à un bogue critique d’injection SQL
Un correctif est disponible entre-temps. Zabbix invite les utilisateurs à l’installer immédiatement. Les éditions ultérieures de la plateforme open source sont susceptibles d’être affectées par le bogue :
- 6.0.0 à 6.0.31
- 6.4.0 à 6.4.16
- 7.0.0
Une mise à jour vers les versions 6.0.32rc1, 6.4.17rc1 et 7.0.1rc1 respectivement apporte un soulagement.
Impardonnable
Les injections SQL existent depuis toujours et sont faciles à exploiter. D’un autre côté, il n’est pas très difficile pour les organisations d’éliminer ces bogues avant que le logiciel ne soit mis en production. C’est pourquoi le FBI et la CISA qualifient généralement les injections SQL d’inexcusables.
Zabbix lui-même donne plus de détails sur son site web. Maintenant que le bogue est largement connu, les administrateurs de Zabbix devraient prendre des mesures rapides. Après tout, un pirate qui parvient à obtenir les identifiants de connexion d’un compte utilisateur peut facilement étendre son accès tant que la fuite n’est pas colmatée.