流行的开源监控工具 Zabbix 发布了紧急安全更新，以解决一个可能允许攻击者在易受攻击系统上执行任意代码的关键漏洞。该漏洞被追踪为 CVE-2024-42330，CVSS 得分为 9.1，影响 Zabbix 6.0、6.4 和 7.0 的多个版本。

Zabbix 被各种规模的组织广泛用于监控其 IT 基础架构，包括网络、服务器和云服务。该漏洞源于对 HttpRequest 对象中 HTTP 标头的不当编码，可被利用来制作恶意请求，导致远程代码执行。

“返回的字符串是直接从服务器返回的数据中创建的，没有针对 JavaScript 进行正确编码。这就允许创建内部字符串，用于访问对象的隐藏属性。”

该漏洞由安全研究员 “zhutyra ”通过 HackerOne 漏洞悬赏平台发现，并负责任地披露给了 Zabbix。Zabbix 通过发布修补版本及时解决了这一问题：

• 6.0.34rc1
• 6.4.19rc1
• 7.0.4rc1

强烈建议所有受影响 Zabbix 版本的用户立即更新到最新版本。否则，系统可能会受到严重威胁。

即使是像 Zabbix 这样广泛使用且值得信赖的开源工具，也可能包含攻击者可以利用的漏洞。通过及时打补丁和遵守安全准则，企业可以大大降低遭受网络攻击的风险。