Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection SQL (SQLi)
Systèmes affectés
- Greffon smartctl pour Zabbix Agent 2 versions 5.0.x antérieures à 5.0.47
- Greffon smartctl pour Zabbix Agent 2 versions 6.0.x antérieures à 6.0.40
- Greffon smartctl pour Zabbix Agent 2 versions 7.0.x antérieures à 7.0.11
- Greffon smartctl pour Zabbix Agent 2 versions 7.2.x antérieures à 7.2.5
- Server version 6.0.x antérieures à 6.0.34
- Server version 6.4.x antérieures à 6.4.19
- Server version 7.0.x antérieures à 7.0.14
- Server version 7.2.x antérieures à 7.2.8
Résumé
De multiples vulnérabilités ont été découvertes dans Zabbix. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection SQL (SQLi).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Zabbix ZBX-26985 du 12 septembre 2025 https://support.zabbix.com/browse/ZBX-26985
- Bulletin de sécurité Zabbix ZBX-26986 du 12 septembre 2025 https://support.zabbix.com/browse/ZBX-26986
- Bulletin de sécurité Zabbix ZBX-26987 du 12 septembre 2025 https://support.zabbix.com/browse/ZBX-26987
- Bulletin de sécurité Zabbix ZBX-26988 du 12 septembre 2025 https://support.zabbix.com/browse/ZBX-26988
- Référence CVE CVE-2025-27233 https://www.cve.org/CVERecord?id=CVE-2025-27233
- Référence CVE CVE-2025-27234 https://www.cve.org/CVERecord?id=CVE-2025-27234
- Référence CVE CVE-2025-27238 https://www.cve.org/CVERecord?id=CVE-2025-27238
- Référence CVE CVE-2025-27240 https://www.cve.org/CVERecord?id=CVE-2025-27240
