1. 漏洞概述

2023年10月16日，安全运营中心监测到Zabbix zbxjson模块缓冲区溢出漏洞。

2. 漏洞详情

Zabbix 是开源的网络监控和管理工具，zbxjson用于通过JSON-RPC 方式与Zabbix 服务器进行通信，监控项功能用来从主机收集数据(如处理器负载等)。

Zabbix受影响版本中由于zabbix/src/libs/zbxjson模块未对JSON数据的深度进行校验，导致zbx_json_open 方法解析 JSON 深度超过64 层时存在缓冲区溢出漏洞。

  攻击者有权限添加监控项或控制配置文件时，可以配置超过64层的嵌套JSONPATH值触发缓冲区溢出，造成远程执行任意代码或拒绝服务。

3. 影响版本

6.0.0<=zabbix<6.0.21rc1

6.4.0<=zabbix<6.4.6rc1

7.0.0alpha1<=zabbix<7.0.0alpha4

zabbix影响所有版本

4. 处置建议

升级zabbix到 6.0.21rc1、6.4.6rc1、7.0.0alpha4 或更高版本。