一、 漏洞 CVE-2024-22120 基础信息
漏洞标题
基于时间的SQL注入在Zabbix Server审核日志中
来源:AIGC 神龙大模型
漏洞描述信息
Zabbix服务器可以执行为配置脚本设置的命令。在命令执行后,会在“审计日志”中添加审计条目。由于“clientip”字段未进行清理,有可能将SQL注入到“clientip”中,并利用基于时间的盲注进行攻击。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:AIGC 神龙大模型
漏洞标题
Time Based SQL Injection in Zabbix Server Audit Log
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Zabbix server can perform command execution for configured scripts. After command is executed, audit entry is added to "Audit Log". Due to "clientip" field is not sanitized, it is possible to injection SQL into "clientip" and exploit time based blind SQL injection.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
输入验证不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Zabbix 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Zabbix是Zabbix公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 Zabbix存在安全漏洞,该漏洞源于对字段未进行有效清理,导致基于时间的盲SQL注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-22120 的公开POC
# POC 描述 源链接 神龙链接
1 Time Based SQL Injection in Zabbix Server Audit Log --> RCE https://github.com/W01fh4cker/CVE-2024-22120-RCE POC详情
2 This is my exploit for CVE-2024-22120, which involves an SSRF vulnerability inside an XXE with a Gopher payload. https://github.com/g4nkd/CVE-2024-22120-RCE-with-gopher POC详情
3 This is my exploit for CVE-2024-22120, which involves an SSRF vulnerability inside an XXE with a Gopher payload. https://github.com/isPique/CVE-2024-22120-RCE-with-gopher POC详情
三、漏洞 CVE-2024-22120 的情报信息