Шестого мая 2026 года разработчики платформы мониторинга Zabbix выпустили сразу три бюллетеня безопасности, закрывающих критические и средние уязвимости. Проблемы затронули все актуальные ветки продукта - версии 6.0, 7.0 и 7.4. Злоумышленник, имеющий доступ к веб-интерфейсу или агенту, мог выполнить сохранённый межсайтовый скриптинг (XSS) или внедрить строку подключения к базе данных Oracle, что приводило к утечке учётных данных. Суммарно зафиксировано три уязвимости, которым присвоены идентификаторы CVE-2026-23926, CVE-2026-23927 и CVE-2026-23928.
Детали уязвимостей
Первая уязвимость (CVE-2026-23926) получила оценку 7,3 балла по шкале CVSS и относится к категории "сохранённый XSS". Проблема кроется в виджете навигатора узлов (Host navigator widget), который отображает всплывающие подсказки о периодах обслуживания. Администратор без привилегий суперпользователя может создать период обслуживания, содержащий произвольный код JavaScript. Когда любой другой пользователь наводит курсор на этот период, скрипт выполняется в его браузере. Атакующий получает возможность совершать несанкционированные действия от имени жертвы - например, изменять конфигурацию мониторинга или похищать сессионные токены.
Важно понимать механизм эксплуатации. Уязвимость затрагивает только фронтенд (веб-интерфейс) и требует, чтобы атакующий имел роль администратора в Zabbix. Однако даже обычный администратор может создать вредоносную запись. Временным обходным решением разработчики называют отключение виджета навигатора узлов через меню "Администрирование - Общие - Модули". Постоянное исправление уже доступно в версиях 7.0.24 и 7.4.8. Интересно, что исследователь Daniel Santos (@bananabr) обнаружил баг через платформу bug bounty HackerOne - это подчёркивает системный подход разработчиков к поиску уязвимостей.
Вторая уязвимость (CVE-2026-23927) носит совершенно другой характер. Она связана с плагином Oracle для второго агента Zabbix (Agent 2). Оценка критичности - 5,1 балла, то есть средний уровень. Проблема заключается в недостаточной фильтрации параметра "service" при формировании строки подключения TNS (Transparent Network Substrate - протокол соединения с базами Oracle). Злоумышленник, способный подключиться к агенту, может подменить строку и заставить агента соединиться с подконтрольным ему сервером. Если в Zabbix сохранены именованные сессии для мониторинга Oracle, то учётные данные базы данных утекают к атакующему.
На первый взгляд риск кажется невысоким - чтобы воспользоваться уязвимостью, нужно иметь доступ к агенту. Однако в реальных инфраструктурах агенты часто размещаются в демилитаризованной зоне (DMZ) или на внешних серверах. Кроме того, параметры подключения к Oracle могут содержать привилегированные учётные записи, что делает атаку крайне опасной. Разработчики рекомендуют обновить компоненты до версий 6.0.45, 7.0.24 или 7.4.8, а пока этого не сделано - отказаться от использования именованных сессий для мониторинга Oracle. Исследователь kelsier с платформы clocktwice.com сообщил о баге также через HackerOne.
Третья уязвимость (CVE-2026-23928) вновь оценена в 7,3 балла и относится к сохранённому XSS. Она затрагивает виджет истории элемента данных (Item history widget) в Zabbix 7.0 и выше, а также виджет простого текста (Plain text widget) в версии 6.0. Если включено отображение HTML, то подконтрольный атакующему узел мониторинга может отправить в виджет вредоносный JavaScript. Как только пользователь открывает панель управления (дашборд) с этим виджетом, скрипт выполняется. По сути, это та же логика, что и в первой уязвимости, но вектор атаки иной - требуется контроль над узлом, а не права администратора.
Обходные меры включают отключение отображения HTML в настройках виджета или полное его отключение через административный интерфейс. Постоянное исправление - обновление до актуальных версий. Разработчики Zabbix оперативно выпустили патчи для всех трёх проблем, что говорит о зрелости их процесса управления уязвимостями.
Что означают эти инциденты для специалистов по информационной безопасности? Прежде всего, необходимо как можно скорее обновить серверы Zabbix до версий 6.0.45, 7.0.24 или 7.4.8 в зависимости от используемой ветки. Если обновление невозможно, следует временно отключить проблемные виджеты или запретить HTML-отображение. Для агентов, мониторящих Oracle, стоит пересмотреть конфигурацию и избегать хранения учётных данных в именованных сессиях.
Подобные уязвимости напоминают о том, что даже зрелые системы мониторинга не застрахованы от ошибок во фронтенде и плагинах. Особенно опасны сохранённые XSS-атаки: они могут долгое время оставаться незамеченными и поражать множество пользователей. В случае с Zabbix атакующий не обязан иметь высокие привилегии - достаточно прав администратора (первый случай) или доступа к агенту (второй). Поэтому важно своевременно получать уведомления о новых бюллетенях и внедрять патчи в рамках регулярного цикла управления уязвимостями.
Наконец, стоит отметить положительный вклад платформы HackerOne, через которую были получены все три отчёта. Сотрудничество с внешними исследователями позволяет находить и устранять проблемы до того, как они будут массово эксплуатироваться. В конечном итоге это делает экосистему Zabbix более надёжной для тысяч организаций по всему миру, использующих её для мониторинга инфраструктуры.
Ссылки
- https://support.zabbix.com/browse/ZBX-27758
- https://support.zabbix.com/browse/ZBX-27759
- https://support.zabbix.com/browse/ZBX-27760
- https://www.cve.org/CVERecord?id=CVE-2026-23926
- https://www.cve.org/CVERecord?id=CVE-2026-23927
- https://www.cve.org/CVERecord?id=CVE-2026-23928
