Se ha descubierto una vulnerabilidad de severidad alta en Zabbix. Esta podría ser explotada para lograr la inyección de comandos SQL.
Productos afectados
- Zabbix:
- 6.0.x, versiones anteriores a 6.0.34.
- 6.4.x, versiones anteriores a 6.4.19.
- 7.0.x, versiones anteriores a 7.0.4.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-27240: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad por neutralización inadecuada de caracteres especiales en consultas SQL, un actor malicioso autenticado en Zabbix podría inyectar código SQL en el campo “Visible name” durante el proceso de autoeliminación de hosts, logrando una inyección de comandos SQL.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-27240
- https://support.zabbix.com/browse/ZBX-26986