- شناسه CVE-2025-27240 :CVE
- CWE-89 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 12, 2025
- به روز شده: سپتامبر 15, 2025
- امتیاز: 7.5
- نوع حمله: SQL Injection
- اثر گذاری: Unknown
- حوزه: نرم افزارهای شبکه و امنیت
- برند: Zabbix
- محصول: Zabbix
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری تزریق SQL مرتبه دو (Secondary-order SQL Injection) در سرور Zabbix شناسایی شده است. یک مدیر (Administrator) میتواند هنگام حذف خودکار میزبانها، با قرار دادن کد SQL مخرب در فیلد نام نمایشی (Visible name)، دستورات SQL دلخواه را اجرا کند.
توضیحات
آسیبپذیری CVE‑2025‑27240 از نوع تزریق SQL مرتبهدو مطابق با CWE‑89 در فرآیند حذف خودکار میزبانهایی که بهصورت ثبت خودکار (Autoregistration) شدهاند در سرور Zabbix رخ میدهد. در این نوع حمله، مهاجم ابتدا مقدار مخرب را در فیلد نام نمایشی (Visible name) ذخیره میکند؛ سپس هنگامی که سرور عملیات حذف خودکار آن میزبان را اجرا میکند، همین مقدار ذخیرهشده بهعنوان بخشی از یک کوئری SQL بهکار رفته و باعث اجرای دستورات دلخواه میشود.
برای بهرهبرداری، دو شرط باید برقرار باشد؛ مهاجم باید دارای نقش مدیر (Administrator) در Zabbix باشد و همچنین به میزبانی که طبق قوانین ثبت خودکار بعداً حذف میشود دسترسی داشته باشد. بدین ترتیب حمله در دو مرحله (ذخیره مخرب سپس اجرا هنگام حذف) انجام میشود و تشخیص آن دشوارتر از تزریقهای SQL معمولی است.
بهرهبرداری از این ضعف بهسادگی قابل خودکارسازی است؛ مهاجم میتواند با اسکریپتها یا ابزارهای خودکار از طریق رابط کاربری وب یا API سرور Zabbix، فیلد Visible name را با پیلودهای مخرب پر کند و با انتظار برای قوانین ثبت خودکار که میزبان را حذف میکنند، سرور را وادار به اجرای کوئری مخرب بر روی پایگاه داده نماید. این عملیات میتواند از راه دور و بدون نیاز به تعامل کاربر انجام شود اما نیازمند دسترسی مدیریتی است.
پیامدهای این آسیبپذیری شامل تأثیر بالا بر محرمانگی ، یکپارچگی و در دسترسپذیری می باشد؛ مهاجم ممکن است دادههای حساس را استخراج کند، رکوردها را تغییر دهد یا حتی جدول های پایگاه داده را حذف نماید.
این ضعف در نسخههای 6.0.34، 6.4.19 و 7.0.4 پچ شده است و توصیه میشود سرورهای آسیبپذیر فوراً به این نسخهها به روزرسانی شوند.
CVSS
| Score | Severity | Version | Vector String |
| 7.5 | HIGH | 4.0 | CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 6.0.0 through 6.0.33
affected from 6.4.0 through 6.4.18 affected from 7.0.0 through 7.0.3 |
Zabbix |
لیست محصولات بروز شده
| Versions | Product |
| unaffected from 6.0.34
unaffected from 6.4.19 unaffected from 7.0.4 |
Zabbix |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Zabbix را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 12,900 | site:.ir “Zabbix” | Zabbix |
نتیجه گیری
این آسیبپذیری با شدت بالا به مهاجم اجازه میدهد در جریان حذف خودکار میزبانها، دستورات SQL دلخواه اجرا کند و در نتیجه میتواند منجر به دسترسی کامل به پایگاهداده، افشای اطلاعات حساس یا اختلال در عملکرد سیستم مانیتورینگ شود. با توجه به انتشار پچهای امنیتی، اجرای فوری اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام نمونههای Zabbix Server را به نسخههای 6.0.34، 6.4.19 یا 7.0.4 (بسته به شاخه) بهروزرسانی کنید. این نسخهها در وبسایت رسمی Zabbix در دسترس هستند.
- غیرفعالسازی موقت ثبت خودکار میزبان (Autoregistration): تا زمان اعمال بهروزرسانی، تمام اقدامات ثبت خودکار که منجر به حذف خودکار میزبان میشوند را غیرفعال کنید.
- فیلتر کردن و ایمنسازی ورودیها: در فیلدهای ورودی مانند نام نمایشی (Visible name) از کوئریهای پارامتری (Prepared Statements / Parameterized Queries) یا کتابخانههای امن مانند ORM استفاده کنید و ورودیها را با الگوهای مجاز (regex/whitelisting) محدود نمایید.
- نظارت بر لاگهای SQL: لاگهای پایگاه داده مانند PostgreSQL یا MySQL را برای شناسایی کوئریهای مشکوک با ساختار غیرعادی مانیتور کنید و از ابزارهایی مانند Zabbix Audit Log برای ردیابی تغییرات مدیریتی استفاده کنید.
- ایزولهسازی پایگاه داده: دسترسی سرور Zabbix به پایگاه داده را با اصل حداقل دسترسی (Least Privilege) محدود کنید؛ مثلاً کاربر در پایگاه داده فقط به جدول های ضروری دسترسی داشته باشد.
- تست امنیتی دورهای: فیلدهای ورودی را با ابزارهای تست تزریق SQL (مثل sqlmap) و فازهای تست اپلیکیشن (مثل Burp Suite) بررسی کنید و سناریوهای ثبت و حذف خودکار را در محیط آزمایشی شبیهسازی نمایید.
- آموزش مدیران: تیمهای عملیاتی را درباره ریسک تزریق SQL مرتبه دو و ضرورت عدم استفاده مستقیم از دادههای ورودی در کوئریها آموزش دهید.
اجرای این اقدامات، بهویژه بهروزرسانی فوری و غیرفعالسازی موقت عملکرد حذف خودکار، ریسک بهرهبرداری از این آسیبپذیری را بهطور قابل توجهی کاهش داده و امنیت زیرساخت مانیتورینگ Zabbix را افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
با وجود اینکه بهرهبرداری مستقیم از شبکه عمومی نیاز ندارد، حمله نیازمند دسترسی مدیریتی Zabbix Administrator است — بنابراین «ورود اولیه» معمولاً از طریق حساب مدیریت یا دزدیده شدنِ اعتبار صورت میگیرد
Defense Evasion (TA0005)
ماهیت مرتبهدو یعنی پیلود هنگام ذخیره «غیر فعال» است و فقط در یک رویداد آتی (حذف) اجرا میشود — این الگو تشخیص مبتنی بر ورودیهای لحظهای را دور میزند.
Lateral Movement (TA0008)
با دستیابی به اجرای SQL در دیتابیس Zabbix، مهاجم میتواند رکوردها را تغییر دهد یا اطلاعات پیکربندی و اعتبارنامههای ذخیرهشده (در صورت وجود) را استخراج و برای حرکت جانبی داخل شبکه استفاده کند.
Collection (TA0009)
حملۀ موفق میتواند به جمعآوری اطلاعات حساس از جداول پایگاهداده منجر شود (تنظیمات، میزبانیها، دادههای مانیتورینگ).
Exfiltration (TA0010)
اگر مهاجم کوئری خواندن را اجرا کند، دادهها میتواند خارج شود — هم از طریق خروجیهای نرمافزار و هم از طریق کانالهای جانبی
Impact (TA0040)
محرمانگی، یکپارچگی و در دسترسپذیری دیتابیس Zabbix میتواند در معرض تهدید قرار گیرد — مهاجم ممکن است دادهها را استخراج، تغییر یا حذف کند و سرویس مانیتورینگ را مختل نماید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-27240
- https://www.cvedetails.com/cve/CVE-2025-27240/
- https://support.zabbix.com/browse/ZBX-26986
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27240
- https://vuldb.com/?id.323770
- https://nvd.nist.gov/vuln/detail/CVE-2025-27240
- https://cwe.mitre.org/data/definitions/89.html
