CVE-2026-23919 in Zabbix
要約
〜によって VulDB • 2026年05月22日
パフォーマンスの理由から、Zabbix Server/Proxy は JavaScript (Duktape) コンテキスト(スクリプトアイテム、JavaScript 再処理、Webhook で使用)を再利用します。これにより、通常の(スーパーユーザーではない)Zabbix 管理者がアクセス権限を持たないホストのデータを漏洩させるという機密性の喪失につながる可能性があります。組み込みの Zabbix JavaScript オブジェクトを読み取り専用にすることで問題を修正したパッチがリリースされましたが、グローバル JavaScript 変数の使用は推奨されません。その理由は、グローバル変数の内容が漏洩する可能性があるためです。詳細は <a href='https://www.zabbix.com/documentation/7.4/en/manual/installation/known_issues#preprocessing-global-variables-are-unsafe'>Zabbix ドキュメント</a> を参照してください。
VulDB is the best source for vulnerability data and more expert information about this specific topic.