阿里云漏洞库

漏洞描述

Zabbix SIA Zabbix是一套开源的监控系统。Zabbix Agent是一个用于监视本地资源和应用程序的代理产品。

Zabbix SIA Zabbix Agent处理‘mysql.size[]’用户参数存在安全漏洞，允许远程攻击者可利用漏洞执行任意shell命令。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：
https://support.zabbix.com/browse/ZBX-10741

参考链接
http://packetstormsecurity.com/files/136898/Zabbix-Agent-3.0.1-mysql.size-She...
http://seclists.org/fulldisclosure/2016/May/9
http://www.securityfocus.com/archive/1/538258/100/0/threaded
http://www.securityfocus.com/bid/89631
https://security.gentoo.org/glsa/201612-42
https://support.zabbix.com/browse/ZBX-10741
https://www.exploit-db.com/exploits/39769/
https://www.zabbix.com/documentation/2.0/manual/introduction/whatsnew2018#mis...
https://www.zabbix.com/documentation/2.2/manual/introduction/whatsnew2213#mis...
https://www.zabbix.com/documentation/3.0/manual/introduction/whatsnew303#misc...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	zabbix	zabbix	2.0.0	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.1	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.10	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.11	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.12	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.13	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.14	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.15	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.16	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.17	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.2	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.3	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.4	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.5	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.6	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.7	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.8	-
	运行在以下环境
	应用	zabbix	zabbix	2.0.9	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.0	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.1	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.10	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.11	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.12	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.2	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.3	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.4	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.5	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.6	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.7	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.8	-
	运行在以下环境
	应用	zabbix	zabbix	2.2.9	-
	运行在以下环境
应用	zabbix	zabbix	3.0.0	-
运行在以下环境
应用	zabbix	zabbix	3.0.2	-
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 1:3.0.3+dfsg-1
运行在以下环境
系统	debian_10	zabbix	*		Up to (excluding) 1:3.0.3+dfsg-1
运行在以下环境
系统	debian_11	zabbix	*		Up to (excluding) 1:3.0.3+dfsg-1
运行在以下环境
系统	debian_12	zabbix	*		Up to (excluding) 1:3.0.3+dfsg-1
运行在以下环境
系统	ubuntu_16.04.7_lts	zabbix	*		Up to (excluding) 1:2.4.7+dfsg-2ubuntu2.1
运行在以下环境
系统	ubuntu_18.04.5_lts	zabbix	*		Up to (excluding) 1:3.0.12+dfsg-1
运行在以下环境
系统	ubuntu_18.10	zabbix	*		Up to (excluding) 1:3.0.17+dfsg-1

攻击路径

远程
攻击复杂度

困难
权限要求

无需权限
影响范围

有限影响
EXP成熟度

POC 已公开
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）

低危 Zabbix SIA Zabbix Agent远程命令执行漏洞

漏洞描述

解决建议

参考链接

受影响软件情况