こんにちは。SCSK株式会社の上田です。
Zabbixに関する、深刻な脆弱性(CVE-2026-23921)が発表されました。
この脆弱性は、Zabbixのバージョン7.0.21、7.2.14、7.4.5までのバージョンに影響します。
Zabbixをご利用の方は一度ご覧いただき、対象の場合はアップデート等のご検討お願い致します。
脆弱性情報
概要
ZabbixのAPI機能(include/classes/api/CApiService.php)において、ブラインドSQLインジェクションが可能となる脆弱性(CVSS v4.0 スコア:8.7 / High)が存在します。
APIアクセス権限を持つ低権限ユーザーから悪意のある文字列が入力されることにより、データベース情報を抜き出され、最終的にセッション識別子の漏えいや管理者アカウントの乗っ取りにつながる恐れがあります。
対象コンポーネント
API
対象バージョン
以下の Zabbix バージョンが影響を受けます。
- Zabbix 7.0.0 – 7.0.21
- Zabbix 7.2.0 – 7.2.14
- Zabbix 7.4.0 – 7.4.5
影響
APIアクセスが可能な低権限ユーザーが、データベース内の任意のデータを抽出できる可能性があります。セッション識別子の漏えいや管理者アカウントの乗っ取りにつながる恐れがあります。
回避方法
この脆弱性を回避するためには、Zabbixの最新バージョン(修正済みバージョン)にアップデートすることが推奨されます。
- Zabbix 7.0.22以降
- Zabbix 7.2.15以降
- Zabbix 7.4.6以降
最後に
弊社ではZabbixのバージョンアップの支援も行っております。
ご興味のある方は、是非弊社までお問合せください。
その他ご相談事項がございましたら、以下ページよりお問い合わせいただければと思います。
最後まで読んでいただき、ありがとうございました。
弊社ではZabbix関連サービスを展開しています。以下ページもご参照ください。
★Zabbixの基礎をまとめたeBookを公開しております!★
★SCSK Plus サポート for Zabbix★
★YouTubeに、SCSK Zabbixチャンネルを開設しました!★
★X(旧Twitter)に、SCSK Zabbixアカウントを開設しました!★
