Plateforme
linux
Composant
checkmk
Corrigé dans
2.5.0b4
2.4.0p26
2.3.0p47
CVE-2026-33457 décrit une vulnérabilité d'injection Livestatus dans Checkmk. Cette faille permet à un utilisateur authentifié d'injecter des commandes arbitraires via le nom du service. Elle affecte les versions de Checkmk comprises entre 2.3.0 et 2.5.0b4. Une correction est disponible en version 2.5.0b4.
La vulnérabilité CVE-2026-33457 dans Checkmk permet à un utilisateur authentifié d'injecter des commandes Livestatus arbitraires via le paramètre du nom du service dans la page de graphique de prédiction. Cela est dû à une sanitisation insuffisante de la valeur de la description du service. Une exploitation réussie pourrait entraîner une exécution de code à distance, un accès non autorisé à des données sensibles et une interruption de service. La gravité de cette vulnérabilité dépend des privilèges de l'utilisateur authentifié et de la configuration du système Checkmk. Un attaquant pourrait exploiter cela pour compromettre potentiellement la confidentialité, l'intégrité et la disponibilité du système. L'impact est amplifié si les commandes Livestatus peuvent être utilisées pour accéder ou modifier des données sur les systèmes surveillés sous-jacents.
La vulnérabilité est exploitée via la page de graphique de prédiction dans Checkmk. Un utilisateur authentifié peut manipuler le paramètre du nom du service pour injecter des commandes Livestatus malveillantes. L'absence de validation appropriée de la valeur de la description du service permet à ces commandes d'être exécutées. La complexité de l'exploitation est relativement faible, ne nécessitant que la connaissance de la vulnérabilité et la capacité de modifier le nom du service. L'impact potentiel est élevé, car l'exécution de commandes Livestatus peut compromettre la sécurité du système Checkmk et des systèmes qu'il surveille.
Organizations heavily reliant on Checkmk for monitoring critical infrastructure are particularly at risk. Environments with shared Checkmk instances or those with weak authentication practices are also more vulnerable. Specifically, those using legacy Checkmk configurations with less stringent input validation are at increased risk.
• linux / server:
journalctl -u checkmk -g "livestatus command injection"• linux / server:
ps aux | grep livestatus | grep -i "crafted service name"• generic web:
curl -I 'http://checkmk_server/prediction_graph?service_description=<crafted_service_name>' | grep 'Livestatus'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
L'atténuation recommandée pour CVE-2026-33457 est de mettre à niveau Checkmk vers la version 2.5.0b4 ou ultérieure, ou vers les versions 2.4.0p26 ou 2.3.0p47. Ces versions incluent des correctifs pour la vulnérabilité d'injection Livestatus. En tant que solution de contournement temporaire, restreignez l'accès à la page de graphique de prédiction aux utilisateurs disposant de privilèges minimaux. Examinez et renforcez régulièrement les politiques de contrôle d'accès pour vous assurer que seuls les utilisateurs autorisés peuvent interagir avec Checkmk. Surveiller les journaux du système à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. Envisagez de mettre en œuvre un pare-feu d'applications Web (WAF) pour fournir une couche de défense supplémentaire.
Actualice Checkmk a la versión 2.5.0b4, 2.4.0p26 o 2.3.0p47 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de sanitización adecuada de la descripción del servicio, previniendo la inyección de comandos Livestatus.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Livestatus est un système de surveillance de l'état des services réseau en temps réel.
Cela signifie que l'attaquant doit s'être connecté à Checkmk avec un compte utilisateur valide.
Les versions antérieures à 2.5.0b4, 2.4.0p26 et 2.3.0p47 sont vulnérables.
Vérifiez la version de Checkmk dans l'interface d'administration ou en consultant la documentation officielle.
Actuellement, il n'existe aucun outil spécifique pour détecter cette vulnérabilité, mais la mise à niveau est la meilleure défense.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.