CVE-2026-23921 in Zabbixinformación

Resumen

por MITRE • 2026-03-24

Un usuario de Zabbix con privilegios bajos y acceso a la API puede explotar una vulnerabilidad de inyección SQL ciega en include/classes/api/CApiService.php para ejecutar sentencias SELECT de SQL arbitrarias a través del parámetro sortfield. Aunque los resultados de la consulta no se devuelven directamente, un atacante puede exfiltrar datos arbitrarios de la base de datos mediante técnicas basadas en tiempo, lo que podría llevar a la divulgación de identificadores de sesión y al compromiso de cuentas de administrador.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Zabbix

Reservar

2026-01-19

Divulgación

2026-03-24

Moderación

aceptado

Artículo

VDB-352834

CPE

listo

CWE

CWE-89 (confirmado)

CVSS

6.3 (VulDB)

EPSS

0.00045

KEV

Actividades

bajo

Sector

Hospital, Energy, ...

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-23921
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-23921
CVE Details	https://www.cvedetails.com/cve/CVE-2026-23921/

◂ Anterior Visión De Conjunto Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!