Se han descubierto vulnerabilidades de severidad alta en productos Zabbix. Un actor malicioso podría eludir las restricciones de seguridad y ejecutar código arbitrario dentro de las sesiones de otros usuarios.
Productos afectados
Zabbix:
- Versiones 6.0.x anteriores a 6.0.45.
- Versiones 7.0.x anteriores a 7.0.24.
- Versiones 7.4.x anteriores a 7.4.8.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-23926: con una puntuación de 7.3 en CVSS v4.0. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web. Un actor malicioso con privilegios de administrador podría crear un periodo de mantenimiento con una carga útil de JavaScript. Esta se ejecuta cuando cualquier otro usuario abre el cuadro de información en el widget del navegador de hosts, permitiendo realizar acciones no autorizadas.
CVE-2026-23928: con una puntuación de 7.3 en CVSS v4.0. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web en los widgets de «Item history» y «Plain text». Un actor malicioso que controle un host monitoreado podría inyectar JavaScript malicioso que se ejecutaría cuando un usuario visualice un tablero que contenga dichos widgets, siempre que la visualización HTML esté habilitada.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias