Zabbix - CVE-2026-23921
Date de publication :
Il s'agit d'une vulnérabilité d'injection SQL aveugle dans le fichier include/classes/api/CApiService.php de l'API Zabbix.
Zabbix est une solution de supervision open source pour la surveillance des infrastructures réseau, des serveurs et des applications.
Le paramètre sortfield ne fait pas l'objet d'une neutralisation correcte des entrées utilisateur. Un attaquant authentifié avec un compte de faibles privilèges disposant d'un accès à l'API peut soumettre des requêtes SQL arbitraires. Les résultats ne sont pas retournés directement, mais l'extraction de données est possible via des techniques temporelles (time-based blind SQL injection). Cela peut mener à la divulgation d'identifiants de session et à la compromission du compte administrateur.
Elle permet à un attaquant authentifié à faibles privilèges d'exfiltrer des données arbitraires de la base de données et de compromettre des comptes privilégiés.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Élévation de privilèges
• Atteinte à la confidentialité des données
Exploitation
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Zabbix versions 7.0.0 jusqu'à 7.0.21
• Zabbix versions 7.2.0 jusqu'à 7.2.14
• Zabbix versions 7.4.0 jusqu'à 7.4.5
Solutions ou recommandations
• Zabbix branche 7.2.x : version 7.2.15 et supérieures
• Zabbix branche 7.4.x : version 7.4.6 et supérieures