Plattform
php
Komponente
checkmk
Behoben in
2.5.4
2.3.0p46
2.4.0p25
2.5.0
CVE-2026-3466 describes a stored Cross-Site Scripting (XSS) vulnerability affecting Checkmk versions 2.2.0 through 2.5.0. This vulnerability allows an attacker with dashboard creation privileges to inject malicious scripts into dashlet titles, potentially impacting users who view shared dashboards. The vulnerability was published on April 7, 2026, and a fix is available in Checkmk 2.5.0.
CVE-2026-3466 in Checkmk ermöglicht einem Angreifer mit Dashboard-Erstellungsrechten die Durchführung von gespeicherten Cross-Site Scripting (XSS)-Angriffen. Dies wird durch die Manipulation der Links innerhalb der Titel von 'Dashlets' auf einem gemeinsam genutzten Dashboard erreicht. Wenn ein Benutzer auf einen manipulierten, bösartigen Link klickt, kann der Angreifer JavaScript-Code im Kontext des Browsers des Benutzers ausführen, wodurch potenziell dessen Sitzung kompromittiert oder sensible Informationen gestohlen werden können. Betroffene Versionen sind Checkmk 2.2.0 (End of Life), 2.3.0 vor 2.3.0p46, 2.4.0 vor 2.4.0p25 und die Beta-Version von 2.5.0. Die Schwere dieser Schwachstelle liegt in der einfachen Möglichkeit für einen Angreifer, einen Benutzer dazu zu verleiten, auf den Link zu klicken, insbesondere in Umgebungen, in denen Dashboards weit verbreitet sind.
Ein Angreifer benötigt Berechtigungen, um Dashboards in Checkmk zu erstellen oder zu ändern. Sobald er diese Berechtigungen hat, kann er bösartigen JavaScript-Code in den Titel eines 'Dashlets' einschleusen. Wenn ein Benutzer mit Zugriff auf das gemeinsam genutzte Dashboard auf diesen Titel klickt, wird der JavaScript-Code in seinem Browser ausgeführt. Dieser Angriff ist besonders effektiv in kollaborativen Umgebungen, in denen Dashboards zwischen mehreren Benutzern geteilt werden, was die Angriffsfläche vergrößert. Das Fehlen einer ordnungsgemäßen Bereinigung der Eingabe des 'Dashlet'-Titels ist die Ursache für diese Schwachstelle.
Organizations using Checkmk for monitoring and those with shared dashboards are at risk. Specifically, environments where multiple users have dashboard creation privileges and dashboards are routinely shared among a large user base are particularly vulnerable. Users relying on Checkmk for critical infrastructure monitoring should prioritize patching.
• php: Examine Checkmk dashboard configurations for suspicious dashlet titles containing HTML or JavaScript code. Use grep to search for <script> tags or other potentially malicious code within the dashlet title fields in the Checkmk database or configuration files.
grep -r '<script>' /path/to/checkmk/config_files• generic web: Monitor Checkmk access logs for unusual requests targeting dashboard creation endpoints. Look for POST requests with suspicious data in the dashlet title parameter.
curl -s 'https://checkmk.example.com/dashboard/create' -d 'title=<script>alert("XSS")</script>' -vdisclosure
Exploit-Status
EPSS
0.05% (16% Perzentil)
CISA SSVC
Die Lösung zur Minderung von CVE-2026-3466 ist das Upgrade von Checkmk auf Version 2.5.0 oder höher, die die Korrektur enthält. Die Versionen 2.3.0p46 und 2.4.0p25 beheben ebenfalls diese Schwachstelle. Wenn ein sofortiges Upgrade nicht möglich ist, überprüfen Sie die Dashboard-Erstellungsrechte und beschränken Sie den Zugriff auf vertrauenswürdige Benutzer. Informieren Sie Benutzer über die Risiken beim Klicken auf verdächtige Links, auch auf gemeinsam genutzten Dashboards. Das Upgrade ist die effektivste Maßnahme, um die Schwachstelle zu beseitigen und Ihre Checkmk-Umgebung zu schützen.
Actualice Checkmk a la versión 2.5.4 o posterior para mitigar la vulnerabilidad de XSS en los títulos de los dashlets. Asegúrese de aplicar los parches de seguridad correspondientes para las versiones 2.3.0p46, 2.4.0p25 y 2.5.0. La actualización corrige la falta de sanitización adecuada de los enlaces en los títulos de los dashlets, previniendo así la ejecución de scripts maliciosos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein 'Dashlet' ist ein Widget oder eine visuelle Komponente, die auf einem Checkmk-Dashboard angezeigt wird. Es zeigt spezifische Überwachungsdaten an.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitsschwachstelle, die es einem Angreifer ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Wenn Sie nicht sofort aktualisieren können, beschränken Sie die Dashboard-Erstellungsrechte und informieren Sie Benutzer über die Risiken beim Klicken auf verdächtige Links.
Diese Schwachstelle betrifft Checkmk-Installationen, die die genannten Versionen verwenden: 2.2.0 (End of Life), 2.3.0 vor 2.3.0p46, 2.4.0 vor 2.4.0p25 und die Beta-Version von 2.5.0.
Konsultieren Sie die offizielle Checkmk-Dokumentation für detaillierte Anweisungen zum Upgrade auf die neueste Version.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.