Zabbix APIにブラインドSQLインジェクションが可能になる脆弱性(CVE-2026-23921)

セキュリティニュース

投稿日時: 更新日時:

Zabbix APIにブラインドSQLインジェクション 脆弱性(CVE-2026-23921)

Zabbixに、低権限ユーザーでもAPI経由で悪用できるブラインドSQLインジェクション 脆弱性 CVE-2026-23921 が公開されました。NVDによると、問題は include/classes/api/CApiService.php にあり、sortfield パラメータを通じて任意のSQL SELECTを実行できる可能性があります。結果は直接返らないものの、時間差を使った手法でデータベース情報を抜き出し、最終的にセッション識別子の漏えいや管理者アカウントの乗っ取りにつながるおそれがあるとされています。CVSS v4.0 のスコアは 8.7 で、高リスクの脆弱性です。

影響を受けるバージョンと修正バージョン

  • 6.0.x → 6.0.44以降にアップデート
  • 7.0.x → 7.0.23以降にアップデート
  • 7.2.x → 7.2.15以降にアップデート
  • 7.4.x → 7.4.7以降にアップデート

概要

Zabbix公式トラッカー(ZBX-27640)およびNVD公開情報によると、本脆弱性の根本原因はinclude/classes/api/CApiService.php内におけるユーザー入力の不適切なサニタイズにあります。

ZabbixのAPIは、各種リソース(ホスト・アイテム・トリガーなど)の取得時にソート順を指定するためのsortfieldパラメータを受け付けます。このパラメータに対してバリデーション・エスケープ処理が適切に行われていないため、攻撃者が制御する任意の文字列をSQLクエリに注入することが可能な状態になっていました。

情報システム部門が押さえるべきポイント

Zabbixは監視そのものを担う基盤であり、侵害されると影響は監視停止だけでは済みません。監視対象の構成情報、障害通知先、APIトークン、スクリプト実行設定などが攻撃者に渡れば、二次侵害や痕跡隠蔽にも使われかねません。今回の脆弱性が低権限ユーザー起点であることを踏まえると、監視基盤を一般的な業務システム以上に厳格に扱う必要があります。