摘要：攻击者通过构造恶意请求,在“Visible name”（可见名称）字段中插入精心设计的SQL语句触发主机自动删除流程时的未验证输入处理逻辑,从而在数据库层执行任意SQL,若数据库配置允许执行系统命令（如MySQL的SELECT INTO OUTFILE或SHE

漏洞

漏洞描述:

Zаbbiх管理员可以通过在“Viѕiblе nаmе”字段中插入恶意SQL在主机自动删除过程中注入任意SQL

攻击场景:

攻击者通过构造恶意请求,在“Visible name”（可见名称）字段中插入精心设计的SQL语句触发主机自动删除流程时的未验证输入处理逻辑,从而在数据库层执行任意SQL,若数据库配置允许执行系统命令（如MySQL的SELECT INTO OUTFILE或SHELL类函数）,则可进一步实现服务器权限提升和远程代码执行。

漏洞类型:

远程代码执行RCE与SQL注入,该漏洞本质为基于SQL注入的远程代码执行攻击者可利用特定字段注入恶意SQL语句进而实现对后端数据库的控制并可能执行任意系统命令。

受影响版本:

未明确列出,但根据漏洞描述及Zabbix官方报告ZBX-26986所有未打补丁的Zabbix Server版本均可能受影响,尤其集中在Zabbix 6.4.x及更早版本Zabbix 7.0.x 也可能存在风险需结合具体补丁验证。

修复建议:

立即升级:将Zabbix Server升级至官方发布的修复版本（建议查看ZBX-26986公告确认补丁版本）

加强输入过滤:

对所有用户输入字段（尤其是“Visible name”、“Host name”、“Description”等）实施严格的白名单或正则校验,禁止特殊字符（如单引号、分号、注释符号）

最小权限原则:数据库账户应避免使用root权限,仅授予必要的读写权限,禁用FILE权限和LOAD_FILE、INTO OUTFILE等危险函数

启用WAF防护:部署Web应用防火墙,配置规则拦截SQL注入特征（如UNION SELECT, DROP TABLE, SHELL等）

日志审计:启用Zabbix Server和数据库的审计日志,监控异常SQL语句（如SELECT INTO OUTFILE、EXEC、system等）

限制外部访问:通过防火墙策略限制Zabbix Web界面和API接口仅允许可信IP访问,避免暴露在公网

网罗圈内热点 专注网络安全

支持「安全圈」就点个三连吧！

来源：小圆科技园地