XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Bugtrack

  • Proqramın adı: Zabbix PHP Frontend-də SQL inyeksiya zəifliyi
  • İstehsalçının veb səhifəsi:
  • Təhlükə: Orta
  • POC:  Yüklə
  • Təsviri:

    Bu zəiflik SQL inyeksiyası hücumlarını keçirmək üçün kənar şəxs tərəfindən istismar edilə bilən ZABBIX PHP Frontend-də aşkar edilmişdir.

    1. Zəiflik api_jsonrpc.php faylın "user" JSON parametrində giriş məlumatları zəif yoxlanılması nəticəsindən mövcuddur. Bu əsassız SQL kodunu yeritmək ilə SQL suallarını idarə etmək üçün istismar edilə bilər.
    2. Zəiflik events.php faylın "nav_time" parametrində giriş məlumatları zəif yoxlanılması nəticəsindən mövcuddur. Bu əsassız SQL kodunu yeritmək ilə SQL suallarını idarə etmək üçün istismar edilə bilər.

    Zəifliklər 1.8.1 versiyada təsdiq edilir. Əvvəlki versiyalara həmçinin təsir göstərilə bilər.

     

  • Həlli:

    1.8.2 və ya son versiyaya yeniləmə.