Plateforme
php
Composant
checkmk
Corrigé dans
2.5.4
2.3.0p46
2.4.0p25
2.5.0
CVE-2026-3466 describes a stored Cross-Site Scripting (XSS) vulnerability affecting Checkmk versions 2.2.0 through 2.5.0. This vulnerability allows an attacker with dashboard creation privileges to inject malicious scripts into dashlet titles, potentially impacting users who view shared dashboards. The vulnerability was published on April 7, 2026, and a fix is available in Checkmk 2.5.0.
La vulnérabilité CVE-2026-3466 dans Checkmk permet à un attaquant disposant de privilèges de création de tableaux de bord d'effectuer des attaques de Cross-Site Scripting (XSS) stockées. Cela est réalisé en manipulant les liens dans les titres des 'dashlets' sur un tableau de bord partagé. Si une victime clique sur un lien malveillant, l'attaquant peut exécuter du code JavaScript dans le contexte du navigateur de la victime, compromettant potentiellement sa session ou volant des informations sensibles. Les versions concernées incluent Checkmk 2.2.0 (Fin de Vie), 2.3.0 avant 2.3.0p46, 2.4.0 avant 2.4.0p25 et la version bêta de 2.5.0. La gravité de cette vulnérabilité réside dans la facilité avec laquelle un attaquant peut tromper un utilisateur pour qu'il clique sur le lien, en particulier dans les environnements où les tableaux de bord sont largement partagés.
Un attaquant a besoin de privilèges pour créer ou modifier des tableaux de bord dans Checkmk. Une fois qu'il dispose de ces privilèges, il peut injecter du code JavaScript malveillant dans le titre d'un 'dashlet'. Lorsqu'un utilisateur ayant accès au tableau de bord partagé clique sur ce titre, le code JavaScript s'exécute dans son navigateur. Cette attaque est particulièrement efficace dans les environnements collaboratifs où les tableaux de bord sont partagés entre plusieurs utilisateurs, augmentant la surface d'attaque. L'absence d'une désinfection appropriée de l'entrée du titre du 'dashlet' est la cause première de cette vulnérabilité.
Organizations using Checkmk for monitoring and those with shared dashboards are at risk. Specifically, environments where multiple users have dashboard creation privileges and dashboards are routinely shared among a large user base are particularly vulnerable. Users relying on Checkmk for critical infrastructure monitoring should prioritize patching.
• php: Examine Checkmk dashboard configurations for suspicious dashlet titles containing HTML or JavaScript code. Use grep to search for <script> tags or other potentially malicious code within the dashlet title fields in the Checkmk database or configuration files.
grep -r '<script>' /path/to/checkmk/config_files• generic web: Monitor Checkmk access logs for unusual requests targeting dashboard creation endpoints. Look for POST requests with suspicious data in the dashlet title parameter.
curl -s 'https://checkmk.example.com/dashboard/create' -d 'title=<script>alert("XSS")</script>' -vdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
La solution pour atténuer CVE-2026-3466 consiste à mettre à niveau Checkmk vers la version 2.5.0 ou ultérieure, qui inclut la correction. Les versions 2.3.0p46 et 2.4.0p25 résolvent également cette vulnérabilité. Si une mise à niveau immédiate n'est pas possible, examinez les privilèges de création de tableaux de bord, en limitant l'accès aux utilisateurs de confiance. Informez les utilisateurs des risques liés au clic sur des liens suspects, même sur les tableaux de bord partagés. La mise à niveau est la mesure la plus efficace pour éliminer la vulnérabilité et protéger votre environnement Checkmk.
Actualice Checkmk a la versión 2.5.4 o posterior para mitigar la vulnerabilidad de XSS en los títulos de los dashlets. Asegúrese de aplicar los parches de seguridad correspondientes para las versiones 2.3.0p46, 2.4.0p25 y 2.5.0. La actualización corrige la falta de sanitización adecuada de los enlaces en los títulos de los dashlets, previniendo así la ejecución de scripts maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un 'dashlet' est un widget ou un composant visuel affiché sur un tableau de bord Checkmk. Il affiche des informations de surveillance spécifiques.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet à un attaquant d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
Si vous ne pouvez pas mettre à niveau immédiatement, limitez les privilèges de création de tableaux de bord et informez les utilisateurs des risques liés au clic sur des liens suspects.
Cette vulnérabilité affecte les installations Checkmk utilisant les versions mentionnées : 2.2.0 (Fin de Vie), 2.3.0 avant 2.3.0p46, 2.4.0 avant 2.4.0p25 et la version bêta de 2.5.0.
Consultez la documentation officielle de Checkmk pour obtenir des instructions détaillées sur la mise à niveau vers la dernière version.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.