Plattform
linux
Komponente
checkmk
Behoben in
2.5.0b4
2.4.0p26
2.3.0p47
CVE-2026-33457 describes a Livestatus injection vulnerability discovered in Checkmk. This flaw allows an authenticated user to inject arbitrary Livestatus commands, potentially leading to unauthorized access and system compromise. The vulnerability affects Checkmk versions 2.3.0 through 2.5.0b4, as well as specific point releases (2.4.0p26 and 2.3.0p47). A fix is available in version 2.5.0b4.
CVE-2026-33457 in Checkmk ermöglicht einem authentifizierten Benutzer, beliebige Livestatus-Befehle über den Dienstnamenparameter in der Vorhersage-Diagrammseite zu injizieren. Dies liegt an einer unzureichenden Bereinigung des Werts der Dienstbeschreibung. Eine erfolgreiche Ausnutzung könnte zu einer Remote-Codeausführung, unbefugtem Zugriff auf sensible Daten und einer Dienstunterbrechung führen. Die Schwere dieser Schwachstelle hängt von den Berechtigungen des authentifizierten Benutzers und der Checkmk-Systemkonfiguration ab. Ein Angreifer könnte dies ausnutzen, um potenziell die Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu gefährden. Der Einfluss wird verstärkt, wenn die Livestatus-Befehle verwendet werden können, um auf Daten auf den zugrunde liegenden überwachten Systemen zuzugreifen oder diese zu ändern.
Die Schwachstelle wird über die Vorhersage-Diagrammseite in Checkmk ausgenutzt. Ein authentifizierter Benutzer kann den Dienstnamenparameter manipulieren, um bösartige Livestatus-Befehle einzuschleusen. Das Fehlen einer ordnungsgemäßen Validierung des Werts der Dienstbeschreibung ermöglicht es diesen Befehlen, ausgeführt zu werden. Die Komplexität der Ausnutzung ist relativ gering, da nur Kenntnisse der Schwachstelle und die Fähigkeit zur Änderung des Dienstnamens erforderlich sind. Der potenzielle Einfluss ist hoch, da die Ausführung von Livestatus-Befehlen die Sicherheit des Checkmk-Systems und der von ihm überwachten Systeme gefährden kann.
Organizations heavily reliant on Checkmk for monitoring critical infrastructure are particularly at risk. Environments with shared Checkmk instances or those with weak authentication practices are also more vulnerable. Specifically, those using legacy Checkmk configurations with less stringent input validation are at increased risk.
• linux / server:
journalctl -u checkmk -g "livestatus command injection"• linux / server:
ps aux | grep livestatus | grep -i "crafted service name"• generic web:
curl -I 'http://checkmk_server/prediction_graph?service_description=<crafted_service_name>' | grep 'Livestatus'disclosure
Exploit-Status
EPSS
0.05% (14% Perzentil)
CISA SSVC
Die empfohlene Abmilderung für CVE-2026-33457 ist die Aktualisierung von Checkmk auf Version 2.5.0b4 oder höher oder auf die Versionen 2.4.0p26 oder 2.3.0p47. Diese Versionen enthalten Fixes für die Livestatus-Injection-Schwachstelle. Als vorübergehende Lösung beschränken Sie den Zugriff auf die Vorhersage-Diagrammseite auf Benutzer mit minimalen Berechtigungen. Überprüfen und verstärken Sie regelmäßig Richtlinien für den Zugriffskontroll, um sicherzustellen, dass nur autorisierte Benutzer mit Checkmk interagieren können. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Erwägen Sie die Implementierung einer Web Application Firewall (WAF), um eine zusätzliche Verteidigungsschicht bereitzustellen.
Actualice Checkmk a la versión 2.5.0b4, 2.4.0p26 o 2.3.0p47 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de sanitización adecuada de la descripción del servicio, previniendo la inyección de comandos Livestatus.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Livestatus ist ein System zur Überwachung des Status von Netzwerkdiensten in Echtzeit.
Das bedeutet, dass der Angreifer in Checkmk mit einem gültigen Benutzerkonto angemeldet sein muss.
Versionen vor 2.5.0b4, 2.4.0p26 und 2.3.0p47 sind anfällig.
Überprüfen Sie die Checkmk-Version in der Verwaltungs-Oberfläche oder durch Konsultation der offiziellen Dokumentation.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen, aber ein Update ist die beste Verteidigung.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.