AI动态
AI基础
AI大模型
AI智能体
AI应用
AI编程
AI安全
AI学院
网安动态
安全运维
网站防护
软件安全
渗透测试
拒绝服务
漏洞挖掘
安全学院
区块动态
区块基础
智能合约
DeFi金融
区块开发
区块安全
区块学院
最新发表
最新回复
我的帖子
资讯
电脑
手机
运维
编程
教程
导读
设计中心
2018-3-30 13:00 |来自: 互联网 364 0
综 述 近日,Zabbix Server 2.4.X的trapper命令功能中被曝出存在可利用的代码执行漏洞(CVE-2017-2824)。 一组特制的数据包可能导致命令注入,导致远程执行代码。 攻击者可以从活动的Zabbix Proxy发出请求以触发此漏洞。该漏洞位于Zabbix代码的“Trapper”部分,这是允许代理和服务器通信的网络服务(TCP端口10051)。 CVSSV3 SCORE: 9.0 - CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H 参考链接: http://www.talosintelligence.com/reports/TALOS-2017-0325/
综 述
近日,Zabbix Server 2.4.X的trapper命令功能中被曝出存在可利用的代码执行漏洞(CVE-2017-2824)。 一组特制的数据包可能导致命令注入,导致远程执行代码。 攻击者可以从活动的Zabbix Proxy发出请求以触发此漏洞。该漏洞位于Zabbix代码的“Trapper”部分,这是允许代理和服务器通信的网络服务(TCP端口10051)。
CVSSV3 SCORE:
9.0 - CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
参考链接:
http://www.talosintelligence.com/reports/TALOS-2017-0325/
Zabbix Server 2.4.X
其他版本均不受影响
通过删除ZabbixServer的Zabbix数据库内的三个默认脚本条目,攻击者将无法实际执行代码,即使他们可以将具有欺骗地址的主机插入到数据库中。
操作如下:
直接从数据库中利用命令消除(use zabbix;delete * from scripts;)
或从GUI界面通过操作(Administration -
黑名单|存档|手机版|网站地图|免责条款|法律声明|隐私保护|HACKBASE
GMT+8, 2026-6-5 20:32
Powered by Discuz!
注册
登录
