Vulnerabilidad en Zabbix (CVE-2026-23919)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

24/03/2026

Última modificación:

25/03/2026

Descripción

Por razones de rendimiento, Zabbix Server/Proxy reutiliza contextos de JavaScript (Duktape) (utilizados en elementos de script, reprocesamiento de JavaScript, Webhooks). Esto puede llevar a una pérdida de confidencialidad donde un administrador de Zabbix regular (no-super) filtra datos de hosts a los que no tiene acceso. Se ha lanzado una corrección que hace que los objetos JavaScript integrados de Zabbix sean de solo lectura, pero tenga en cuenta que el uso de variables globales de JavaScript no está recomendado porque su contenido podría ser filtrado. Más información en la documentación de Zabbix.

Impacto

Vector 4.0

CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:H/VI:L/VA:L/SC:H/SI:L/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:H/VI:L/VA:L/SC:H/SI:L/SA:L

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Alto
Integrity (SI): Bajo
Availability (SA): Bajo

Puntuación base 4.0

7.10

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://support.zabbix.com/browse/ZBX-27638