Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un nuovo allarme per gli utenti di Zabbix: una vulnerabilità SQL injection, sfruttabile via API, può compromettere dati sensibili e account amministrativi. L’attacco riguarda il parametro sortfield e richiede un account con accesso API. Aggiornare le versioni colpite è essenziale per proteggere l’infrastruttura e prevenire fughe di informazioni critiche.
Un utente con privilegi limitati su Zabbix e accesso all’API può sfruttare una blind, read-only SQL injection tramite il parametro sortfield. Il punto critico si trova in include/classes/api/CApiService.php. Anche se le query non restituiscono direttamente i dati, un attaccante può estrarre informazioni dal database usando tecniche basate sul tempo. Il rischio include la possibile esposizione di identificatori di sessione e l’accesso agli account amministrativi.
| Codice CVE | Severity | Sintesi della vulnerabilità |
|---|---|---|
| CVE-2026-23921 | High | Blind, read-only SQL injection in Zabbix API tramite sortfield |
Le versioni vulnerabili sono:
Per verificare se il tuo sistema è affetto: accedi all’interfaccia Zabbix e controlla Help → About → Version. Se corrisponde a una versione elencata come vulnerabile, aggiornare immediatamente è l’unica difesa affidabile.
Non esistono workaround temporanei noti: la soluzione è applicare l’aggiornamento ufficiale. L’aggiornamento garantisce la chiusura della falla, impedendo l’esfiltrazione dei dati.
Per sfruttare questa vulnerabilità, un attaccante deve possedere un account Zabbix con accesso API. L’attacco è “blind“: i risultati non vengono restituiti direttamente. Gli strumenti basati sul tempo consentono comunque di dedurre informazioni sensibili. La tecnica può portare al furto di sessioni e alla compromissione di account amministrativi.
La ricerca e la segnalazione della vulnerabilità sono state effettuate da SeaWind su HackerOne tramite la piattaforma bug bounty, a cui Zabbix esprime il proprio ringraziamento.
