プラットフォーム
linux
コンポーネント
checkmk
修正版
2.5.0b4
2.4.0p26
2.3.0p47
CVE-2026-33457 describes a Livestatus injection vulnerability discovered in Checkmk. This flaw allows an authenticated user to inject arbitrary Livestatus commands, potentially leading to unauthorized access and system compromise. The vulnerability affects Checkmk versions 2.3.0 through 2.5.0b4, as well as specific point releases (2.4.0p26 and 2.3.0p47). A fix is available in version 2.5.0b4.
Checkmk の CVE-2026-33457 は、認証されたユーザーが予測グラフページ内のサービス名パラメータを介して任意の Livestatus コマンドを注入することを可能にします。これは、サービス説明の値の不十分なサニタイズが原因です。 攻撃が成功した場合、リモートコード実行、機密データへの不正アクセス、サービスの中断につながる可能性があります。 この脆弱性の重大度は、認証されたユーザーの権限と Checkmk システム構成に依存します。 攻撃者はこれを利用して、システムの機密性、完全性、可用性を損なう可能性があります。 Livestatus コマンドが基盤となる監視システム上のデータにアクセスまたは変更するために使用できる場合、影響は増大します。
この脆弱性は、Checkmk の予測グラフページを介して悪用されます。 認証されたユーザーは、サービス名パラメータを操作して、悪意のある Livestatus コマンドを注入できます。 サービス説明の値の適切な検証がないため、これらのコマンドが実行されます。 悪用の複雑さは比較的低く、脆弱性の知識とサービス名を変更する機能のみが必要です。 潜在的な影響は高く、Livestatus コマンドの実行により、Checkmk システムとそれが監視するシステムのセキュリティが損なわれる可能性があります。
Organizations heavily reliant on Checkmk for monitoring critical infrastructure are particularly at risk. Environments with shared Checkmk instances or those with weak authentication practices are also more vulnerable. Specifically, those using legacy Checkmk configurations with less stringent input validation are at increased risk.
• linux / server:
journalctl -u checkmk -g "livestatus command injection"• linux / server:
ps aux | grep livestatus | grep -i "crafted service name"• generic web:
curl -I 'http://checkmk_server/prediction_graph?service_description=<crafted_service_name>' | grep 'Livestatus'disclosure
エクスプロイト状況
EPSS
0.05% (14% パーセンタイル)
CISA SSVC
CVE-2026-33457 の推奨される軽減策は、Checkmk をバージョン 2.5.0b4 以降、またはバージョン 2.4.0p26 または 2.3.0p47 にアップグレードすることです。 これらのバージョンには、Livestatus インジェクション脆弱性に対する修正が含まれています。 一時的な回避策として、予測グラフページへのアクセスを最小限の権限を持つユーザーに制限します。 定期的にアクセス制御ポリシーを確認および強化して、承認されたユーザーのみが Checkmk と対話できるようにします。 システムログを不審なアクティビティについて監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。 Web Application Firewall (WAF) を実装して、追加の防御レイヤーを提供することを検討してください。
Actualice Checkmk a la versión 2.5.0b4, 2.4.0p26 o 2.3.0p47 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de sanitización adecuada de la descripción del servicio, previniendo la inyección de comandos Livestatus.
脆弱性分析と重要アラートをメールでお届けします。
Livestatus は、ネットワークサービスの状態をリアルタイムで監視するシステムです。
これは、攻撃者が有効なユーザーアカウントを使用して Checkmk にログインする必要があることを意味します。
2.5.0b4、2.4.0p26、および 2.3.0p47 以前のバージョンが脆弱です。
管理インターフェースで Checkmk のバージョンを確認するか、公式ドキュメントを参照してください。
現在、この脆弱性を検出するための特定のツールはありませんが、アップデートが最良の防御です。