A Zabbix divulgou três vulnerabilidades de segurança que afetam múltiplas versões de seus agentes e servidores de monitoramento. A mais crítica, identificada como CVE-2025-27237, possui pontuação CVSS de 7.3 (gravidade alta) e permite que atacantes locais escalem privilégios em ambientes Windows. As outras duas vulnerabilidades, CVE-2025-49641 e CVE-2025-27231, são classificadas como gravidade média e envolvem problemas de controle de acesso não autorizado.
Detalhes das vulnerabilidades
A CVE-2025-27237 afeta o Zabbix Agent e Agent 2 para Windows. A falha está relacionada ao carregamento do arquivo de configuração OpenSSL a partir de um caminho que pode ser modificado por usuários com poucos privilégios, permitindo modificações maliciosas e possível escalada de privilégios locais através da injeção de uma DLL. A CVE-2025-49641 permite que um usuário normal do Zabbix, sem permissão na visualização Monitoramento -> Problemas, ainda possa chamar a ação problem.view.refresh e recuperar uma lista de problemas ativos. Já a CVE-2025-27231 envolve o vazamento da senha de conexão LDAP quando um superadministrador altera o host LDAP para um servidor não autorizado.
Versões afetadas e correções
As versões afetadas incluem 6.0.0 até 6.0.40, 7.0.0 até 7.0.17, 7.2.0 até 7.2.11 e 7.4.0 até 7.4.1 do Zabbix Agent, Agent 2 e Server. A Zabbix disponibilizou correções nas versões 6.0.41, 7.0.18, 7.2.12 e 7.4.2 para todas as três vulnerabilidades.
Diante desse cenário, SEK recomenda:
- Testar as atualizações em ambientes não produtivos antes de implementar em produção.
- Atualizar imediatamente o Zabbix Agent, Agent 2 e Server para as versões corrigidas disponibilizadas pelo fabricante.
- Revisar as permissões de acesso dos usuários Zabbix, aplicando o princípio de privilégio mínimo para minimizar a superfície de ataque.
SEK está monitorando ativamente esta situação e permanece à disposição para auxiliar seus clientes na implementação das correções, avaliação de impacto nos ambientes e identificação proativa de instâncias vulneráveis.
