ZabbixにCVSS 9.9の「緊急」の脆弱性が見つかる 速やかなアップデートが必要：セキュリティニュースアラート

監視ソリューション「Zabbix」に深刻な脆弱性があると公表した。CVE-2024-22116と特定されたこの脆弱性はリモートコード実行を可能にし、システム全体の安全が脅かされる。緊急のアップデートが推奨されている。

[後藤大地，有限会社オングス]

　Zabbixは2024年8月9日（現地時間）、監視ソリューション「Zabbix」に深刻な脆弱（ぜいじゃく）性があると伝えた。この脆弱性が悪用された場合、リモートコード実行の攻撃を受け、システム全体が危険にさらされる可能性がある。

　Zabbixはネットワークやサーバ、仮想マシン、クラウドサービスなどのITインフラ全体をリアルタイムで監視し、パフォーマンスデータを収集・分析するオープンソースの監視ソフトウェアだ。シンプルなアプリケーションから大規模なインフラまで、さまざまなITリソースを監視するために利用されている。

ZabbixにCVSS 9.9の脆弱性　急ぎアップデートを

　今回報告された脆弱性は「CVE-2024-22116」として特定されている。共通脆弱性評価システム（CVSS）v3.1のスコア値は9.9で深刻度「緊急」（Critical）に分類されている。

　影響を受けるバージョンでは制限された権限を持つ管理者でも、監視しているホストでスクリプト実行機能を悪用できる可能性がある。スクリプトパラメーターがデフォルトでエスケープされていないため、攻撃者がPingスクリプトを使って任意のコードを実行してインフラ全体を危険にさらすことが可能とされている。

　影響を受けるとされるZabbixのバージョンは以下の通りだ。

• Zabbix 6.4.0から6.4.15までのバージョン
• Zabbix 7.0.0alpha1から7.0.0rc2までのバージョン

　修正されたZabbixのバージョンは以下の通りだ。

• Zabbix 6.4.16rc1
• Zabbix 7.0.0rc3

　CVE-2024-22116が解決されないままだとシステム全体が攻撃者に乗っ取られる可能性があり、甚大な被害を招くリスクとなる。影響を受ける製品を使用している場合、問題が修正されたバージョンに速やかにアップデートすることが強く推奨されている。