प्लेटफ़ॉर्म
linux
घटक
checkmk
में ठीक किया गया
2.5.0b4
2.4.0p26
2.3.0p47
Checkmk के संस्करण 2.3.0 से 2.5.0b4 तक में एक Livestatus इंजेक्शन भेद्यता पाई गई है। यह भेद्यता प्रमाणित उपयोगकर्ताओं को एक तैयार सेवा नाम पैरामीटर के माध्यम से मनमाना Livestatus कमांड इंजेक्ट करने की अनुमति देती है। संस्करण 2.5.0b4 में इस समस्या का समाधान किया गया है।
CVE-2026-33457 Checkmk में, एक प्रमाणित उपयोगकर्ता पूर्वानुमान ग्राफ पृष्ठ पर सेवा नाम पैरामीटर के माध्यम से मनमाना Livestatus कमांड इंजेक्ट कर सकता है। यह सेवा विवरण मान के अपर्याप्त सैनिटाइजेशन के कारण है। सफल शोषण से रिमोट कोड निष्पादन, संवेदनशील डेटा तक अनधिकृत पहुंच और सेवा व्यवधान हो सकता है। इस भेद्यता की गंभीरता प्रमाणित उपयोगकर्ता के विशेषाधिकारों और Checkmk सिस्टम कॉन्फ़िगरेशन पर निर्भर करती है। एक हमलावर इसका उपयोग सिस्टम की गोपनीयता, अखंडता और उपलब्धता को संभावित रूप से खतरे में डालने के लिए कर सकता है। यदि Livestatus कमांड का उपयोग अंतर्निहित मॉनिटर किए गए सिस्टम पर डेटा तक पहुंचने या संशोधित करने के लिए किया जा सकता है, तो प्रभाव बढ़ जाता है।
यह भेद्यता Checkmk में पूर्वानुमान ग्राफ पृष्ठ के माध्यम से शोषण की जाती है। एक प्रमाणित उपयोगकर्ता दुर्भावनापूर्ण Livestatus कमांड इंजेक्ट करने के लिए सेवा नाम पैरामीटर को हेरफेर कर सकता है। सेवा विवरण मान का उचित सत्यापन नहीं होने से इन कमांड को निष्पादित करने की अनुमति मिलती है। शोषण की जटिलता अपेक्षाकृत कम है, जिसमें केवल भेद्यता का ज्ञान और सेवा नाम को संशोधित करने की क्षमता की आवश्यकता होती है। संभावित प्रभाव अधिक है, क्योंकि Livestatus कमांड का निष्पादन Checkmk सिस्टम और उसके द्वारा मॉनिटर किए गए सिस्टम की सुरक्षा को खतरे में डाल सकता है।
Organizations heavily reliant on Checkmk for monitoring critical infrastructure are particularly at risk. Environments with shared Checkmk instances or those with weak authentication practices are also more vulnerable. Specifically, those using legacy Checkmk configurations with less stringent input validation are at increased risk.
• linux / server:
journalctl -u checkmk -g "livestatus command injection"• linux / server:
ps aux | grep livestatus | grep -i "crafted service name"• generic web:
curl -I 'http://checkmk_server/prediction_graph?service_description=<crafted_service_name>' | grep 'Livestatus'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (14% शतमक)
CISA SSVC
CVE-2026-33457 के लिए अनुशंसित शमन Checkmk को संस्करण 2.5.0b4 या बाद के संस्करण में, या संस्करण 2.4.0p26 या 2.3.0p47 में अपग्रेड करना है। इन संस्करणों में Livestatus इंजेक्शन भेद्यता के लिए फिक्स शामिल हैं। एक अस्थायी समाधान के रूप में, पूर्वानुमान ग्राफ पृष्ठ तक पहुंच को न्यूनतम विशेषाधिकार वाले उपयोगकर्ताओं तक सीमित करें। केवल अधिकृत उपयोगकर्ताओं को Checkmk के साथ इंटरैक्ट करने की अनुमति देने के लिए नियमित रूप से एक्सेस कंट्रोल नीतियों की समीक्षा और मजबूत करें। सिस्टम लॉग की निगरानी संदिग्ध गतिविधि के लिए भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकती है। अतिरिक्त सुरक्षा परत प्रदान करने के लिए Web Application Firewall (WAF) को लागू करने पर विचार करें।
Actualice Checkmk a la versión 2.5.0b4, 2.4.0p26 o 2.3.0p47 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de sanitización adecuada de la descripción del servicio, previniendo la inyección de comandos Livestatus.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Livestatus एक सिस्टम है जो नेटवर्क सेवाओं की स्थिति की वास्तविक समय में निगरानी करता है।
इसका मतलब है कि हमलावर को एक मान्य उपयोगकर्ता खाते के साथ Checkmk में लॉग इन करना होगा।
2.5.0b4, 2.4.0p26 और 2.3.0p47 से पहले के संस्करण कमजोर हैं।
प्रशासन इंटरफ़ेस में Checkmk संस्करण की जांच करें या आधिकारिक दस्तावेज़ देखें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन अपडेट सबसे अच्छा बचाव है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।