O Diário

O Diário de Analistas de Plantão | Vol. 2 | N. 3 | Pp. 47–48 | 2026 | ISSN xxxx-xxxx

Alerta: vulnerabilidade crítica atinge o Zabbix

Publicado em: 25 de março de 2026
por Adriano Cansian.

Estamos cientes que uma vulnerabilidade crítica de injeção de SQL cega (blind SQLi) atinge o Zabbix e foi publicada ontem (24/03/2026). Ela afeta usuários com privilégios baixos que possuem acesso à API, permitindo execução de consultas SQL arbitrárias

O que é essa vulnerabilidade

A CVE-2026-23921 é uma falha de SQL Injection na API do Zabbix.

Ela ocorre porque um parâmetro da API chamado sortfield não é tratado corretamente antes de ser usado em uma consulta ao banco de dados.

Em termos simples:

A API recebe um valor enviado pelo usuário.
Esse valor é colocado dentro de uma consulta SQL.
Como não há sanitização adequada, um atacante pode inserir comandos SQL maliciosos nesse campo.

Ou seja, em vez de apenas dizer “ordenar por tal campo”, o atacante consegue injetar código SQL dentro da consulta.

O CWE (Common Weakness Enumeration) para vulnerabilidades de injeção de SQL cega (blind SQL injection) é o CWE-89. Ele classifica falhas de neutralização inadequada de elementos especiais em comandos SQL.

Impacto e Riscos

Com severidade 8.7 (HIGH) no CVSS, a vulnerabilidade permite exfiltração gradual de dados sensíveis do banco Zabbix, como identificadores de sessão (session IDs). Isso pode levar à divulgação de credenciais de administradores, escalada de privilégios e comprometimento total do servidor de monitoramento.

Existência de Prova de Conceito (PoC)

A vulnerabilidade foi publicada há menos de 24 horas (24/03/2026), e buscas em repositórios como GitHub, Exploit-DB e NVD não revelam exploits ou códigos de demonstração disponíveis.

Versões Afetadas e Corrigidas

As versões corrigidas da CVE-2026-23921 foram lançadas recentemente no Zabbix, conforme o ticket oficial ZBX-27640.

Série	Versões Vulneráveis	Versões Corrigidas
7.0.x	7.0.0 até 7.0.21	7.0.22 ou superior (Suporte Zabbix)
7.2.x	7.2.0 até 7.2.14	7.2.15 ou superior (Suporte Zabbix)
7.4.x	7.4.0 até 7.4.5	7.4.6 ou superior (Suporte Zabbix)

Recomendações

Priorize atualizações do Zabbix e monitore trackers como Zabbix JIRA (ZBX-27639) para possíveis divulgações futuras. Para blind SQLi time-based, PoCs geralmente demoram devido à complexidade de exfiltração.

Referências

NVD (NIST): Detalhes completos da CVE, incluindo descrição, severidade e CVSS.
https://nvd.nist.gov/vuln/detail/CVE-2026-23921
Zabbix JIRA (ZBX-27640): Ticket oficial com affected/fixed versions e patch notes.
https://support.zabbix.com/browse/ZBX-27640
Vulmon: Resumo da vulnerabilidade com referências adicionais.
https://vulmon.com/vulnerabilitydetails?qid=CVE-2026-23921
MITRE CWE-89: Definição oficial de SQL Injection (inclui blind).
https://cwe.mitre.org/data/definitions/89.html
OWASP Blind SQLi: Guia técnico sobre ataques time-based.
https://owasp.org/www-community/attacks/Blind_SQL_Injection

Tags: Alerta, CVE, Vulnerabilidades, Zabbix.

Categorias: Alerta, Ataques, CVE, Falhas, Vulnerabilidade.

Adriano Cansian Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP - Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas "Computers & Security" e "International Journal of Forensic Computer Science", consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.

« Renovações de certificados HTTPS agora, parte da rotina

Novo ataque do TeamPCP comprometeu Telnyx no PyPI »