Zabbix OAuth 任意文件读取漏洞(CVE-2025-27232)预警
1、基本情况
zabbix 是一个监控软件,其可以监控各种网络参数,保证企业服务架构安全运营,同时支持灵活的告警机制,可以使得运维人员快速定位故障、解决问题。zabbix 支持分布式功能,支持复杂架构下的监控解决方案,也支持 web 页面,为主机监控提供了良好直观的展现。
近日,监测发现 Zabbix 官方发布安全公告修复了 Zabbix OAuth任意文件读取漏洞(CVE-2025-27232),攻击者在已获取低权限账户(如普通用户或认证后用户)的前提下,利用 Zabbix 系统中 OAuth 授权流程中的逻辑缺陷通过构造恶意请求绕过权限控制读取 Web 服务器上的任意文件(如配置文件、日志文件、敏感数据等)。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ 7.4.0 <= version <= 7.4.2
3、处置建议
官方已发布安全补丁,请及时升级至最新版本。
下载地址:https://www.zabbix.com/cn/download
4、参考链接
1) https://support.zabbix.com/browse/ZBX-27282