Se han descubierto vulnerabilidades de severidad alta en productos Zabbix. Un actor malicioso podría ejecutar código arbitrario, realizar inyecciones SQL o acceder a información confidencial de la base de datos y del sistema.
Productos afectados
Zabbix:
- Versiones 6.0.x anteriores a 6.0.41.
- Versiones 7.0.x anteriores a 7.0.22.
- Versiones 7.2.x anteriores a 7.2.15.
- Versiones 7.4.x anteriores a 7.4.6.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-23921: con una puntuación de 8.7 en CVSS v4.0. Existe una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL. Un actor malicioso remoto con privilegios limitados podría ejecutar consultas SQL arbitrarias para filtrar datos confidenciales y comprometer cuentas de nivel administrador.
CVE-2026-23920: con una puntuación de 7.7 en CVSS v4.0. Existe una vulnerabilidad de inyección de comandos del sistema operativo debido a una validación insuficiente de entradas mediante expresiones regulares. Un actor malicioso remoto y autenticado podría omitir las restricciones de seguridad e inyectar comandos de shell en el servidor afectado.
CVE-2026-23919: con una puntuación de 7.1 en CVSS v4.0. Existe una vulnerabilidad de exposición de datos entre sesiones provocada por la reutilización de contextos de JavaScript. Un actor malicioso con privilegios de administrador estándar podría acceder a información de activos a los que no posee permisos de acceso legítimos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias