Zabbix の複数の脆弱性が FIX：XSS／DoS／SQLi などの可能性

Multiple Vulnerabilities in Zabbix Open the Door to XSS, DoS, and SQL Injection

2025/04/03 SecurityOnline — IT インフラ監視の要である Zabbix が公表したのは、重大度の低い情報漏洩から、影響の大きい SQL インジェクションやサービス拒否 (DoS) のリスクに至るまでの、新たに発見された５つのセキュリティ脆弱性の修正に関する情報である。

１つ目の脆弱性 CVE-2024-36465 (CVSS：8.6) は、Zabbix API の groupBy パラメータに存在する SQL インジェクション脆弱性である。API アクセス権を持つ低権限 Zabbix ユーザーであれば、”include/classes/api/CApiService.php” に存在する脆弱性を悪用して、groupBy パラメータを介して任意の SQL コマンドを実行できる。認証された Zabbix API ユーザーであれば、悪意の SQL を挿入する可能性を得る。

影響を受けるコンポーネントは、Zabbix API のバージョン 7.0.0〜7.0.7／7.2.0〜7.2.1 である。修正されたバージョンは 7.0.8rc2／7.2.2rc1 となる。

２つ目の脆弱性 CVE-2024-45699 (CVSS：7.5) は、深刻度の高い反射型クロスサイト・スクリプティング (XSS) の欠陥であり、”/zabbix.php?action=export.valuemaps” エンドポイントに存在する。この脆弱性は、適切な HTML エスケープや出力エンコードを行うことなく、ユーザーが入力したデータが、backurl パラメータを介して反射することで発生する。その結果として、被害者のブラウザ内で実行できる JavaScript ペイロードが、攻撃者により挿入される。

影響を受けるコンポーネントは、Zabbix Web インターフェイスのバージョン 6.0.0～6.0.36／6.4.0～6.4.20／7.0.0～7.0.6 である。修正されたバージョンは、6.0.37rc1／6.4.21rc1／7.0.7rc1 となる。

Zabbix のサーバとプロキシには、中程度の深刻度のサービス拒否 (DoS) 脆弱性 CVE-2024-45700 が存在する。Zabbix サーバは、制御されないリソース枯渇による、DoS 攻撃に対して脆弱である。特別に細工されたリクエストをサーバに送信する攻撃者は、サーバに過剰なメモリを割り当て、CPU を集中的に使用させることで、サービス・クラッシュを引き起こす可能性を得る。

影響を受けるコンポーネントは、Zabbix サーバおよび Zabbix プロキシの、バージョン 6.0.0 〜6.0.38／7.0.0〜7.0.9／7.2.0〜7.2.3 である。修正されたバージョンは、6.0.39rc1／7.0.10rc1／7.2.4rc1 となる。

Zabbix API には、低程度の深刻度の脆弱性 CVE-2024-42325 が存在する。 user.get メソッドは、呼び出し元のユーザーとグループを共有する、すべてのユーザーに関する、メディアやログイン試行の詳細といった、過剰な情報を返してしまう。

影響を受けるコンポーネントには、Zabbix API のバージョン 5.0.0〜5.0.45／6.0.0〜6.0.37／7.0.0〜7.0.8／7.2.0〜7.2.2 が含まれる。修正されたバージョンは、 5.0.46rc1／6.0.38rc1／7.0.9rc1／7.2.3rc1 となる。

５つ目の深刻度の低い脆弱性 CVE-2024-36469 は、失敗したログイン試行のタイミングの不一致により、ユーザーを列挙してしまうものだ。存在しないユーザー名を使用する場合と、存在するユーザー名を使用する場合では、ログイン失敗が判別するまでの実行時間が異なる。 Zabbix フロントエンドまたは Zabbix API にアクセスできる攻撃者であれば、これを悪用することで、ログイン失敗のタイミングを計測する可能性を手にする。

影響を受けるコンポーネントは、Zabbix Web インターフェイスのバージョン 5.0.0～5.0.45／6.0.0〜6.0.37／7.0.0〜7.0.8／7.2.0〜7.2.2 である。修正されたバージョンは、 5.0.46rc1／6.0.38rc1／7.0.9rc1／7.2.3rc1 となる。

Zabbix ユーザーに対して強く推奨されるのは、提供された情報を確認し、修正されたバージョンへと速やかにアップグレードし、これらのセキュリティ・リスクを軽減することだ。

インフラ監視ツールである Zabbix に脆弱性が確認されたことは、ツール自体が攻撃対象となり得るということを示しています。ツールに依存するだけでなく、日々のアップデートと監視の監視が必要なのだと痛感します。​特に脆弱性 CVE-2024-36465 (CVSS：8.6) は、低権限の攻撃者でも悪用可能な、深刻なものです。ご利用のチームは、アップグレードをご検討ください。よろしければ、Zabbix で検索も、ご参照ください。