Plateforme
linux
Composant
checkmk
Corrigé dans
2.5.4
2.3.0p46
2.4.0p25
2.5.0b3
CVE-2025-39666 is a privilege escalation vulnerability discovered in Checkmk. This flaw allows a site user to escalate their privileges to root by manipulating files processed during the omd administrative command, which is typically run as root. The vulnerability affects Checkmk versions 2.2.0 (EOL), 2.3.0 before 2.3.0p46, 2.4.0 before 2.4.0p25, and 2.5.0 (beta) before 2.5.0b3. A fix is available in version 2.5.0b3.
La vulnérabilité CVE-2025-39666 dans Checkmk permet à un utilisateur du site d'élever ses privilèges à root. Cela est réalisé en manipulant des fichiers dans le contexte du site qui sont traités lorsque la commande administrative omd est exécutée par root. Les versions affectées incluent Checkmk 2.2.0 (Fin de vie), Checkmk 2.3.0 avant 2.3.0p46, Checkmk 2.4.0 avant 2.4.0p25 et Checkmk 2.5.0 (bêta) avant 2.5.0b3. L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant de prendre le contrôle total du système Checkmk, compromettant la sécurité des systèmes surveillés et des informations sensibles stockées.
Un utilisateur ayant accès au site Checkmk peut exploiter cette vulnérabilité. L'attaquant doit manipuler des fichiers spécifiques dans le répertoire du site qui sont traités par la commande omd lorsqu'elle est exécutée avec les privilèges root. La complexité de l'exploitation dépend de la configuration du site et des permissions de l'utilisateur, mais elle est généralement considérée comme un risque important en raison du potentiel d'élévation de privilèges root.
Organizations using Checkmk for monitoring, particularly those with multiple site users and less restrictive file permissions, are at risk. Environments where the omd command is frequently used or accessible to a wide range of users are especially vulnerable. Legacy Checkmk installations running older, unsupported versions are also at increased risk.
• linux / server:
find /omd/sites/*/ -type f -perm -u=w -print0 | xargs -0 ls -l | grep 'site_user:'• linux / server:
journalctl -u checkmk_agent -g 'omd command' | grep -i error• linux / server:
ps aux | grep -i omddisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
L'atténuation principale pour CVE-2025-39666 est de mettre à niveau vers une version de Checkmk qui inclut la correction. Cela inclut Checkmk 2.5.0b3 ou une version ultérieure. Si une mise à niveau immédiate n'est pas possible, il est recommandé de restreindre les permissions des utilisateurs du site pour empêcher la modification de fichiers critiques dans le contexte du site. Il est également conseillé de vérifier et d'auditer régulièrement les fichiers du site à la recherche de modifications non autorisées. La mise en œuvre de ces mesures réduira considérablement le risque d'exploitation.
Actualice Checkmk a la versión 2.5.4 o posterior para mitigar la vulnerabilidad. La actualización corrige la forma en que se procesan los archivos en el contexto del sitio, evitando la escalada de privilegios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie que Checkmk ne reçoit plus de mises à jour de sécurité ni de corrections de bugs pour cette version. Il est fortement recommandé de migrer vers une version prise en charge.
Vous pouvez vérifier votre version de Checkmk en exécutant la commande checkmk --version dans la ligne de commande.
Les fichiers de configuration et les scripts dans le répertoire du site qui sont utilisés par la commande omd sont les plus susceptibles d'être manipulés. La documentation Checkmk fournit des détails spécifiques sur ces fichiers.
Il est recommandé de réaliser un audit de sécurité complet, y compris la vérification des journaux système et la recherche de fichiers modifiés récemment.
Isolez le système affecté du réseau, informez votre équipe de sécurité et suivez les procédures de réponse aux incidents de votre organisation.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.