升级提醒 | Zabbix Server 审计日志存在基于时间的SQL注入漏洞

尊敬的Zabbix用户：   

我们有责任通知您，最新发现的CVE-2024-22120漏洞可能会对您的Zabbix服务器构成严重威胁。该漏洞允许攻击者通过“clientip”字段执行基于时间延迟注入攻击，这可能会导致权限升级，甚至远程代码执行（RCE）。我们深知您的业务对安全性的依赖，因此我们立即采取行动，为您提供必要的信息和支持。

• 受影响版本: 6.0.0-6.0.27,6.4.0-6.4.12,7.0.0alpha1-7.0.0beta1

• 漏洞编号：CVE-2024-22120

• 漏洞名称：基于时间的SQL注入漏洞

• 受影响组件：Zabbix Server 审计日志

解决方案：应用“已修复版本”部分列出的更新，以确保您的产品安全，同时立即联系Zabbix官方获得原厂支持。

【Zabbix中国联系电话：400-823-0118】

原厂支持：Zabbix原厂支持的订阅用户，请及时应用已提供的安全更新和补丁，如需要伴随保障，您可以随时通过官方门户（线上支持群或邮件）联系您的专属支持团队。

原厂支持是确保您的系统始终处于最佳安全状态的关键。它不仅提供了最新的安全更新，还包括了对您的系统进行定期的安全评估和维护。在面对此类安全漏洞、各种紧急突发事件以及日常维护时，原厂支持能够提供快速、准确的解决方案，帮助您最小化业务中断和潜在损失。

二开影响：如果您基于Zabbix开源代码进行二次开发及封装，我们同样郑重提醒您，您的产品同样面临着此类安全威胁。我们强烈建议您立即采取行动，确保您封装的产品能够及时获得必要的安全更新和补丁。修改源代码二开后封装的第三方未授权软件将有极大可能无法得到原厂技术支持，提请大家谨慎选择，原厂支持不仅提供了这些关键的安全更新，还包括了专业的技术咨询和问题解决服务。

我们建议您：

• 立即行动：请立即检查您的产品是否受到此漏洞的影响，并采取相应的安全措施。

• 联系原厂：与Zabbix原厂建立联系，获取最新的安全信息和支持，确保您的产品能够及时更新。

• 通知用户：向使用您封装产品的用户发出通知，告知他们此安全漏洞，并建议他们联系Zabbix原厂以获得原生Zabbix的可靠支持，避免因为您无法进行相关更新而为用户带来的使用风险。

致谢与呼吁：我们感谢所有用户对Zabbix的信任和支持。我们承诺，将继续努力，为您提供最安全、最可靠的监控解决方案。如果您有任何疑问或需要帮助，请随时联系我们的支持团队。我们在这里，随时准备为您提供帮助。

联系电话：400-823-0118

结论：在面对不断变化的安全威胁时，选择原厂支持是确保您的Zabbix服务器安全的最佳途径。我们鼓励所有用户认真考虑这一选项，并立即采取行动，以保护您的系统和业务安全不间断运行。