こんにちは、SCSKの後藤です。
Zabbixに関する脆弱性(CVE-2026-23926 ~ CVE-2026-23928)が発表されました。
これらの脆弱性は、6.0.44、7.0.23、7.4.7までのバージョンに影響します。
Zabbixをご利用の方は一度ご覧いただき、対象の場合はアップデート等のご検討お願い致します。
CVE-2026-23926
概要
これにより、ユーザの権限に応じた不正操作が実行されるリスクなどがあります。
対象バージョン
以下のZabbixバージョンが影響を受けます。
- 7.0.0 – 7.0.23
- 7.4.0 – 7.4.7
影響
回避方法
この脆弱性を回避するためには、Zabbixの最新バージョン(修正済みバージョン)にアップデートすることが推奨されます。
- Zabbix7.0.24以降
- Zabbix7.4.8以降
上記バージョンアップが難しい場合は、管理から [一般設定] -> [モジュール] でこのウィジェットを無効にする方法があります。
CVE-2026-23927
概要
対象バージョン
以下のZabbixバージョンが影響を受けます。
- 6.0.0 – 6.0.44
- 7.0.0 – 7.0.23
- 7.4.0 – 7.4.7
影響
回避方法
この脆弱性を回避するためには、Zabbixの最新バージョン(修正済みバージョン)にアップデートすることが推奨されます。
- Zabbix6.0.45以降
- Zabbix7.0.24以降
- Zabbix7.4.8以降
上記バージョンアップが難しい場合は、Zabbix Agent 2内部で長期の接続情報保存を避ける、IPアドレスなどを用いたアクセス制限などが挙げられます。
CVE-2026-23928
概要
Zabbix 7.0 以降で導入されたアイテム履歴ウィジェットおよび、Zabbix 6.0 のプレーンテキストウィジェットにおいて、HTML 表示が有効な場合に任意のスクリプトが実行されてしまう脆弱性が存在します。
これにより、攻撃者はユーザの権限に応じて不正操作を実行できるほか、セッション情報の窃取やデータの改ざんなどの影響を引き起こす可能性があります。
対象バージョン
以下のZabbixバージョンが影響を受けます。
- 6.0.0 – 6.0.44
- 7.0.0 – 7.0.23
- 7.4.0 – 7.4.7
影響
回避方法
この脆弱性を回避するためには、Zabbixの最新バージョン(修正済みバージョン)にアップデートすることが推奨されます。
- Zabbix6.0.45以降
- Zabbix7.0.24以降
- Zabbix7.4.8以降
上記バージョンアップが難しい場合は、アイテム履歴・プレーンテキストウィジェットでHTML表示を行わないようにする、もしくはZabbix7.0以降の場合は、管理から [一般設定] -> [モジュール] でこのウィジェットを無効にする方法があります。
最後に
弊社ではZabbixのバージョンアップの支援も行っております。
ご興味のある方は、是非弊社までお問合せください。
その他ご相談事項がございましたら、以下ページよりお問い合わせいただければと思います。
最後まで読んでいただき、ありがとうございました。
——————————————————————————–
弊社ではZabbix関連サービスを展開しています。以下ページもご参照ください。
★Zabbixの基礎をまとめたeBookを公開しております!★
★SCSK Plus サポート for Zabbix★
★SCSK Zabbixチャンネル★
★X(旧Twitter)に、SCSK Zabbixアカウントを開設しました!★
