近日,国家信息安全漏洞共享平台(CNVD)收录了zabbix存在的SQL注入漏洞(CNVD-2016-06408)。攻击者利用漏洞无需授权登录即可控制zabbix管理系统,或通过script等功能直接获取zabbix服务器的操作权限,进而有可能危害到用户单位整个网络系统的运行安全。
标签: Zabbix漏洞
CNNVD:关于Zabbix漏洞情况的通报
Zabbix存在两处基于错误回显的SQl注入漏洞(CNNVD-201608-340、CNNVD-201608-341)的 情况。该漏洞是由于zabbix默认开启guest权限(其账户默认密码是空),导致攻击者可利用该权限访问latest.php和jsrpc.php页 面,从而触发上述漏洞,获取远程服务器控制权限。