Zabbix - CVE-2026-23928

Il s'agit d'une vulnérabilité de type XSS stocké dans le widget Item history (Zabbix 7.0 et supérieur) et son prédécesseur le widget Plain text (Zabbix 6.0).

Zabbix est une solution open source de supervision et de monitoring d'infrastructure informatique. Elle permet la collecte de métriques depuis des hôtes surveillés via des agents, la visualisation de données dans des tableaux de bord composés de widgets, et le déclenchement d'alertes. Il est disponible en version communautaire et en version entreprise, et est déployé sur des serveurs Linux.

Lorsque l'option d'affichage HTML est activée dans ce widget, le contenu des valeurs d'items remontées par un hôte monitoré est rendu sans échappement suffisant. Un attaquant ayant le contrôle d'un hôte monitoré peut faire remonter via cet hôte une valeur d'item contenant un payload JavaScript malveillant. Ce payload est enregistré côté serveur Zabbix puis exécuté dans le navigateur de tout utilisateur qui ouvre un tableau de bord contenant ce widget.

Elle permet à un attaquant distant, via un hôte monitoré sous son contrôle, d'exécuter du code JavaScript arbitraire dans la session d'un utilisateur Zabbix, et de réaliser des actions non autorisées en son nom selon son niveau de privilèges.