Platform
linux
Component
checkmk
Opgelost in
2.5.0b4
2.4.0p26
2.3.0p47
CVE-2026-33457 beschrijft een vulnerability in Checkmk waarbij een geauthenticeerde gebruiker Livestatus commands kan injecteren via een crafted service name parameter in de prediction graph page. Deze kwetsbaarheid treedt op in versies kleiner dan 2.5.0b4, 2.4.0p26 en 2.3.0p47. Een beveiligingsupdate is uitgebracht in versie 2.5.0b4 om dit probleem te verhelpen.
CVE-2026-33457 in Checkmk stelt een geauthenticeerde gebruiker in staat om willekeurige Livestatus-commando's te injecteren via de service naam parameter in de voorspellingsgrafiekpagina. Dit komt door onvoldoende sanitatie van de waarde van de service beschrijving. Een succesvolle exploitatie kan leiden tot remote code execution, ongeautoriseerde toegang tot gevoelige gegevens en serviceonderbreking. De ernst van deze kwetsbaarheid hangt af van de privileges van de geauthenticeerde gebruiker en de Checkmk-systeemconfiguratie. Een aanvaller kan dit misbruiken om mogelijk de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem in gevaar te brengen. De impact wordt versterkt als de Livestatus-commando's kunnen worden gebruikt om toegang te krijgen tot of gegevens op de onderliggende bewaakte systemen te wijzigen.
De kwetsbaarheid wordt uitgebuit via de voorspellingsgrafiekpagina in Checkmk. Een geauthenticeerde gebruiker kan de service naam parameter manipuleren om kwaadaardige Livestatus-commando's te injecteren. Het ontbreken van een juiste validatie van de waarde van de service beschrijving maakt het mogelijk dat deze commando's worden uitgevoerd. De complexiteit van de exploitatie is relatief laag, waarbij alleen kennis van de kwetsbaarheid en de mogelijkheid om de service naam te wijzigen vereist is. De potentiële impact is hoog, omdat de uitvoering van Livestatus-commando's de beveiliging van het Checkmk-systeem en de systemen die het bewaakt, kan in gevaar brengen.
Organizations heavily reliant on Checkmk for monitoring critical infrastructure are particularly at risk. Environments with shared Checkmk instances or those with weak authentication practices are also more vulnerable. Specifically, those using legacy Checkmk configurations with less stringent input validation are at increased risk.
• linux / server:
journalctl -u checkmk -g "livestatus command injection"• linux / server:
ps aux | grep livestatus | grep -i "crafted service name"• generic web:
curl -I 'http://checkmk_server/prediction_graph?service_description=<crafted_service_name>' | grep 'Livestatus'disclosure
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
De aanbevolen mitigatie voor CVE-2026-33457 is het upgraden van Checkmk naar versie 2.5.0b4 of hoger, of naar de versies 2.4.0p26 of 2.3.0p47. Deze versies bevatten fixes voor de Livestatus-injectie kwetsbaarheid. Als tijdelijke workaround, beperk de toegang tot de voorspellingsgrafiekpagina tot gebruikers met minimale privileges. Controleer en versterk regelmatig toegangscontrolebeleid om ervoor te zorgen dat alleen geautoriseerde gebruikers met Checkmk kunnen interageren. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Overweeg het implementeren van een Web Application Firewall (WAF) om een extra beveiligingslaag te bieden.
Actualice Checkmk a la versión 2.5.0b4, 2.4.0p26 o 2.3.0p47 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de sanitización adecuada de la descripción del servicio, previniendo la inyección de comandos Livestatus.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Livestatus is een systeem voor het monitoren van de status van netwerkdiensten in realtime.
Het betekent dat de aanvaller moet zijn ingelogd op Checkmk met een geldig gebruikersaccount.
Versies vóór 2.5.0b4, 2.4.0p26 en 2.3.0p47 zijn kwetsbaar.
Controleer de Checkmk-versie in de beheerinterface of door de officiële documentatie te raadplegen.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar updaten is de beste verdediging.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.