Alvorlige sårbarheder i Zabbix

Der er fundet to alvorlige sårbarheder i overvågningssystemet Zabbix, som kan udnyttes til Remote Code Execution (RCE) og SQL-injektion. Sårbarhederne har id’erne EUVD-2025-29033 / CVE-2025-27240 (CVSS 7,5) og EUVD-2025-29036 / CVE-2025-27234 (CVSS 7,3). EPSS-scorerne er hhv. 0,04 og 0,07.

Alle versioner af Zabbix i følgende intervaller er berørt:

• 5.0.0 før 5.0.46
• 6.4.0 før 6.4.18
• 6.0.0 før 6.0.33
• 7.0.0 før 7.0.3

EUVD-2025-29033 kan udnyttes ved at en Zabbix-administrator injicerer vilkårlig SQL under automatisk fjernelse af værter ved at indsætte ondsindet SQL i feltet Synligt navn.

EUVD-2025-29036 gør det muligt at foretage injektion af uventede argumenter i smartctl-kommandoen. Det skyldes, at Zabbix Agent 2's smartctl-plugin håndterer ikke korrekt parametre til smart.disk.get. Det bemærkes, at I Zabbix 5.0 kan dette føre til fjernkodeeksekvering.

Det anbefales at opdatere sårbare installationer hurtigst muligt, jvf. producentens vejledning.