CVE-2024-22120 — 神龙十问 AI 深度分析摘要

🚨 **本质**：基于时间的盲SQL注入。 💥 **后果**：攻击者可注入恶意SQL，最终导致 **远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE**：CWE-20 (输入验证不当)。 📍 **缺陷点**：审计日志中的 **clientip** 字段未做有效清理/过滤，直接拼接到SQL查询中。

📦 **厂商**：Zabbix。 📅 **受影响版本**： - 6.0.0 - 6.0.27 - 6.4.0 - 6.4.12 - 7.0.0alpha1

🛠️ **黑客能力**： 1. **完全控制**：通过RCE获取服务器权限。 2. **数据窃取**：CVSS评分极高，可读取/修改所有数据 (C:H, I:H, A:H)。 3. **横向移动**：利用内网SSRF/XXE进一步渗透。

🚧 **门槛**：中等。 ✅ **前提条件**： - 需要 **低权限用户** 账号。 - 该用户需拥有 **执行脚本** 的权限。 - 需获取 Session ID 和 Host ID。

🔥 **有现成Exp**！ - GitHub 上已有多个 RCE 工具包 (如 W01fh4cker, g4nkd 等)。 - 包含基于 **Gopher 协议** 的 SSRF/XXE 利用链，可直接反弹 Shell。 - Nuclei 模板已更新。

🔎 **自查方法**： 1. **版本检查**：确认 Zabbix Server 版本是否在受影响列表中。 2. **权限审计**：检查是否有低权限用户被赋予了“执行脚本”权限。 3. **日志监控**：监控 Audit Log 中是否有异常的 SQL 注入尝试或时间延迟。

🛡️ **官方修复**： - 官方已确认漏洞 (ZBX-24505)。 - 建议立即升级到 **最新安全版本** (超出受影响列表的版本)。 - 补丁修复了对 clientip 字段的清理逻辑。

⚠️ **临时规避**： 1. **最小权限**：移除低权限用户的“执行脚本”权限。 2. **网络隔离**：限制 Zabbix Server 的出站连接，防止 Gopher/SSRF 外联。 3. **WAF 防护**：拦截针对 Audit Log 接口的异常 SQL 注入特征。

🚨 **优先级：极高 (Critical)**。 💡 **建议**： - CVSS 满分附近，且 **已有公开 RCE PoC**。 - 只要满足低权限+脚本执行权限即可利用。 - **立即行动**：升级版本或收紧权限，切勿拖延！