प्लेटफ़ॉर्म
linux
घटक
checkmk
में ठीक किया गया
2.5.0b4
2.4.0p26
Checkmk के संस्करण 2.4.0 से 2.5.0b4 तक में एक Livestatus इंजेक्शन भेद्यता पाई गई है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को एक तैयार सेवा विवरण के माध्यम से मनमाना Livestatus कमांड इंजेक्ट करने की अनुमति देती है। संस्करण 2.5.0b4 में इस समस्या का समाधान किया गया है।
CVE-2026-33456 Checkmk में, अधिसूचना परीक्षण पृष्ठ तक पहुँच रखने वाले प्रमाणित उपयोगकर्ता को तैयार किए गए सेवा विवरण के माध्यम से मनमाना Livestatus कमांड इंजेक्ट करने की अनुमति मिलती है। इससे रिमोट कोड निष्पादन, जानकारी का प्रकटीकरण या सेवा से इनकार हो सकता है। गंभीरता प्रमाणित उपयोगकर्ता के विशेषाधिकार और Checkmk सिस्टम कॉन्फ़िगरेशन पर निर्भर करती है। इस जोखिम को कम करने के लिए पैच किए गए संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यह भेद्यता 2.5.0b4 और 2.4.0p26 से पहले के संस्करणों को प्रभावित करती है।
यह भेद्यता अधिसूचना परीक्षण पृष्ठ के माध्यम से शोषण किया जाता है, जो उपयोगकर्ताओं को अधिसूचना भेजने का अनुकरण करने की अनुमति देता है। एक प्रमाणित हमलावर दुर्भावनापूर्ण Livestatus कमांड को सम्मिलित करने के लिए सेवा विवरण को संशोधित कर सकता है। जब अधिसूचना परीक्षण निष्पादित किया जाता है, तो इन कमांड को Checkmk एजेंट पर निष्पादित किया जाता है, जिससे हमलावर को संभावित रूप से संवेदनशील जानकारी तक पहुंचने या मनमाना कोड निष्पादित करने की अनुमति मिलती है। शोषण के लिए प्रमाणीकरण एक पूर्व शर्त है, लेकिन प्रमाणीकरण के बाद, प्रभाव महत्वपूर्ण हो सकता है। शोषण की जटिलता अपेक्षाकृत कम है, जिसमें केवल सेवा विवरण को संशोधित करने की आवश्यकता होती है।
Organizations using Checkmk for system monitoring, particularly those with legacy configurations or shared hosting environments, are at risk. Environments where user accounts with access to the notification test page have elevated privileges are especially vulnerable.
• linux / server:
journalctl -u checkmk -g 'livestatus injection'• linux / server:
ps aux | grep 'livestatus' | grep -v grep• linux / server:
find /opt/check_mk/ -name '*service_description*' -print0 | xargs -0 grep -i 'malicious_command'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
अनुशंसित समाधान Checkmk को संस्करण 2.5.0b4 या बाद के संस्करण में या संस्करण 2.4.0p26 में अपडेट करना है। इन संस्करणों में Livestatus कमांड इंजेक्शन को रोकने के लिए एक फिक्स शामिल है। एक अस्थायी उपाय के रूप में, अधिसूचना परीक्षण पृष्ठ तक पहुंच को अधिकृत उपयोगकर्ताओं तक सीमित करें और किसी भी विसंगतियों के लिए सेवा विवरणों की सावधानीपूर्वक समीक्षा करें। Livestatus से संबंधित संदिग्ध गतिविधि के लिए Checkmk लॉग की नियमित रूप से निगरानी करें। निगरानी बुनियादी ढांचे की सुरक्षा बनाए रखने के लिए सुरक्षा पैच लागू करना एक मौलिक अभ्यास है।
Actualice Checkmk a la versión 2.5.0b4 o superior para mitigar la vulnerabilidad de inyección de Livestatus. Esta actualización corrige la forma en que se manejan las descripciones de los servicios, evitando la inyección de comandos arbitrarios. Asegúrese de revisar las notas de la versión para obtener instrucciones de actualización específicas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Livestatus एक प्रणाली है जो Checkmk द्वारा निगरानी की जा रही सेवाओं की स्थिति के बारे में वास्तविक समय की जानकारी प्रदान करती है।
कमांड इंजेक्शन एक हमला तकनीक है जो एक हमलावर को सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देती है।
Checkmk के संस्करण की जांच करें जिसका आप उपयोग कर रहे हैं। यदि यह 2.5.0b4 या 2.4.0p26 से पहले का है, तो आप संभवतः प्रभावित हैं।
अधिसूचना परीक्षण पृष्ठ तक पहुंच को प्रतिबंधित करें और सेवा विवरणों की समीक्षा करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन Checkmk लॉग की निगरानी करने की अनुशंसा की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।