漏洞描述
Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(ZabbixSia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。 该漏洞存在于 user.get API 端点,任何拥有 API访问权限的非管理员用户(包括默认的 “用户 ”角色)都可能利用该漏洞。通过操纵特定的 API 调用,攻击者可以注入恶意 SQL代码,从而获得未经授权的访问权限和控制权。
Zabbix user.get API SQL 注入漏洞(CVE-2024-42327)
PoC代码
暂无相关漏洞推荐
- 深圳市易宇通科技有限公司kingtrans物流管理系统CUesrRegister userid参数存在SQL注入漏洞
- 天锐绿盾审批系统 trwfe/login.jsp/.%2e/user/findUserPageExcludeCurrentUser.do SQL 注入漏洞
- jshERP /jshERP-boot/webjars/swagger-ui/css/..;1=1/..;1=1/..;1=1/user/info 权限绕过漏洞(CVE-2025-60801)
- POC JNPF快速开发平台 /api/file/Image/userAvatar/aa 文件读取漏洞
- JNPF快速开发平台 userAvatar 存在任意文件文件读取漏洞
- 天地伟业Easy7 /Easy7/rest/user/queryUserbyDesc SQL 注入漏洞
- POC 世邦通信SPON IP网络对讲广播系统 /php/getuserdata.php 信息泄露漏洞
- 天地伟业Easy7 /Easy7/rest/user/queryPassword 信息泄露漏洞
- 多客圈子论坛系统 /index.php/api/user/httPGet 文件读取漏洞
- dpanel /api/common/user/login 默认口令漏洞
- 微信公众平台无限回调系统 /user/ajax.php SQL 注入漏洞
- POC unifi-create-user: UniFi - Unauthenticated Creation Access For Users
- TDuck /user/form/data/download/file SQL 注入漏洞(CVE-2025-57631)