監視ツールが裏口に？ Zabbix深刻度「高」脆弱性の危うい実態

監視ツールとして広く使われるZabbixで、低権限ユーザーからでもデータベース内部に迫れる脆弱性が明らかになった。直接データを盗めないはずの“読み取り専用”攻撃が、なぜ重大リスクへと変わるのか。

[＠IT]

　Zabbixは2026年3月24日（現地時間）、「Zabbix API」における「sortfield」パラメーターを介したブラインド読み取り専用SQLインジェクションの脆弱（ぜいじゃく）性「CVE-2026-23921」を発表した。

　APIアクセス権を持つ低権限のZabbixユーザーは、「include/classes/api/CApiService.php」に存在する同脆弱性を悪用すると、sortfieldパラメーターを介して任意の「SQL SELECT」クエリを実行できるようになる。

Zabbixに深刻度「高」の脆弱性　急ぎ対処を

　Zabbixによると、クエリ結果は直接返されないが、攻撃者は時間ベースの手法を使って任意のデータベースデータを抜き出すことが可能で、セッション識別子の漏えいや管理者アカウントの侵害につながる可能性がある。共通脆弱性評価システム（CVSS）v4.0のスコアは8.7で深刻度「高」（High）と評価されており、注意が必要だ。

　CVE-2026-23921が影響するバージョンは以下の通りだ。

• 7.0.21、7.2.14、7.4.5までのバージョン

　CVE-2026-23921を修正したバージョンは以下の通りだ。

• 7.0.22、7.2.15、7.4.6までのバージョン

　Zabbixは影響を受けるコンポーネントを、それぞれの修正済みバージョンに更新することを推奨している。

　Zabbixは、サーバやネットワーク機器、アプリケーションの稼働状況を一元的に監視するオープンソースの統合監視ソフトウェアで、多くの企業システムの基盤を支えている。今回の脆弱性が悪用されると、セッションIDの漏えいや管理者アカウントが乗っ取られた結果、監視基盤そのものが侵害され、ネットワーク全体の可視性や制御が奪われるリスクがある。低権限のZabbixユーザーでもこの脆弱性を悪用できることから注意する必要があるだろう。