Bollettino 91/2026

[TLP:CLEAR]

bollettino di sicurezza 91/2026

Aggiornamenti Zabbix

26-03-2026

sql-injection, command-injection, api, docker, privilege-escalation

Aggiornamenti Zabbix

descrizione

Sono state pubblicate cinque vulnerabilità su Zabbix: CVE-2026-23921 (blind SQL injection tramite API, gravità Alta), CVE-2026-23920 (command injection tramite validazione regex, gravità Alta), CVE-2026-23919 (istanziazione arbitraria di classi PHP senza autenticazione, gravità Media), CVE-2026-23923 (lettura arbitraria di file tramite plugin Docker di Agent 2, gravità Media), CVE-2026-23924 (insufficiente isolamento del contesto JavaScript Duktape su Server/Proxy, gravità Media).

Le vulnerabilità coprono diversi vettori: SQL injection, command injection, arbitrary class instantiation, arbitrary file read e context isolation flaw. Nessuna è segnalata come zero-day.

note

Le vulnerabilità impattano componenti chiave della piattaforma Zabbix: Server, Proxy, API, Frontend e Agent 2. Le due vulnerabilità più critiche (CVE-2026-23921 e CVE-2026-23920) possono essere sfruttate rispettivamente tramite API (blind SQL injection) e da utenti autenticati con privilegi adeguati (command injection bypassando la validazione regex). Le altre vulnerabilità di severità media includono istanziazione arbitraria di classi PHP senza autenticazione (Frontend), lettura arbitraria di file nei container Docker tramite Agent 2 e perdita di confidenzialità tra contesti amministrativi differenti per insufficiente isolamento JavaScript (Server/Proxy).

Non sono segnalati exploit pubblici o sfruttamento attivo in the wild. I prodotti impattati includono le versioni 7.0, 7.2 e 7.4 di Zabbix. Il rischio operativo è elevato in ambienti con esposizione ampia, automazioni o amministratori multipli. Si raccomanda l'aggiornamento urgente delle versioni impattate e il monitoraggio degli accessi e delle attività amministrative. Nessuna mitigazione o workaround è stata esplicitamente indicata dal vendor.

CVE

CVE CVSS-3.1 CVSS-4.0 EPSS
CVE-2026-23921 -- 8.7 0.034% | 9.72%
CVE-2026-23920 -- 7.7 0.052% | 16.28%
CVE-2026-23919 -- 7.1 0.021% | 5.57%
CVE-2026-23923 -- 6.9 0.073% | 22.04%
CVE-2026-23924 -- 6.1 0.057% | 17.73%

tipi di attacco

CWE descrizione
CWE-488 Exposure of Data Element to Wrong Session
CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
CWE-470 Use of Externally-Controlled Input to Select Classes or Code ('Unsafe Reflection')
CWE-88 Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')

prodotti impattati

vendor prodotto & versioni
zabbixzabbix
  • Da: 7.4.0 A: 7.4.2
  • Da: 7.4.0 A: 7.4.5
  • Da: 7.4.0 A: 7.4.6
  • Da: 7.2.0 A: 7.2.12
  • Da: 7.2.0 A: 7.2.14
  • Da: 7.0.0 A: 7.0.18
  • Da: 7.0.0 A: 7.0.21
  • Da: 7.0.0 A: 7.0.22
  • Da: 6.0.0 A: 6.0.40
  • Da: 6.0.0 A: 6.0.43

riferimenti

support.zabbix.com/browse/ZBX-27638
support.zabbix.com/browse/ZBX-27639
support.zabbix.com/browse/ZBX-27640
support.zabbix.com/browse/ZBX-27641
support.zabbix.com/browse/ZBX-27642
indietro