Platform
php
Component
checkmk
Opgelost in
2.5.4
2.3.0p46
2.4.0p25
2.5.0
CVE-2026-3466 describes a stored Cross-Site Scripting (XSS) vulnerability affecting Checkmk versions 2.2.0 through 2.5.0. This vulnerability allows an attacker with dashboard creation privileges to inject malicious scripts into dashlet titles, potentially impacting users who view shared dashboards. The vulnerability was published on April 7, 2026, and a fix is available in Checkmk 2.5.0.
CVE-2026-3466 in Checkmk stelt een aanvaller met dashboardcreatiebevoegdheden in staat om opgeslagen Cross-Site Scripting (XSS)-aanvallen uit te voeren. Dit wordt bereikt door de links binnen de titels van 'dashlets' op een gedeeld dashboard te manipuleren. Als een slachtoffer op een gemanipuleerde, kwaadaardige link klikt, kan de aanvaller JavaScript-code in de context van de browser van het slachtoffer uitvoeren, waardoor mogelijk hun sessie wordt gecompromitteerd of gevoelige informatie wordt gestolen. Betroffen versies zijn Checkmk 2.2.0 (End of Life), 2.3.0 vóór 2.3.0p46, 2.4.0 vóór 2.4.0p25 en de bètaversie van 2.5.0. De ernst van deze kwetsbaarheid ligt in de eenvoud waarmee een aanvaller een gebruiker kan misleiden om op de link te klikken, vooral in omgevingen waar dashboards veel worden gedeeld.
Een aanvaller heeft bevoegdheden nodig om dashboards in Checkmk te maken of te wijzigen. Zodra hij deze bevoegdheden heeft, kan hij kwaadaardige JavaScript-code in de titel van een 'dashlet' injecteren. Wanneer een gebruiker met toegang tot het gedeelde dashboard op deze titel klikt, wordt de JavaScript-code in zijn browser uitgevoerd. Deze aanval is bijzonder effectief in collaboratieve omgevingen waar dashboards tussen meerdere gebruikers worden gedeeld, waardoor het aanvalsoppervlak wordt vergroot. Het ontbreken van een goede sanering van de invoer van de 'dashlet'-titel is de hoofdoorzaak van deze kwetsbaarheid.
Organizations using Checkmk for monitoring and those with shared dashboards are at risk. Specifically, environments where multiple users have dashboard creation privileges and dashboards are routinely shared among a large user base are particularly vulnerable. Users relying on Checkmk for critical infrastructure monitoring should prioritize patching.
• php: Examine Checkmk dashboard configurations for suspicious dashlet titles containing HTML or JavaScript code. Use grep to search for <script> tags or other potentially malicious code within the dashlet title fields in the Checkmk database or configuration files.
grep -r '<script>' /path/to/checkmk/config_files• generic web: Monitor Checkmk access logs for unusual requests targeting dashboard creation endpoints. Look for POST requests with suspicious data in the dashlet title parameter.
curl -s 'https://checkmk.example.com/dashboard/create' -d 'title=<script>alert("XSS")</script>' -vdisclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
De oplossing om CVE-2026-3466 te mitigeren is het upgraden van Checkmk naar versie 2.5.0 of hoger, die de correctie bevat. Versies 2.3.0p46 en 2.4.0p25 lossen deze kwetsbaarheid ook op. Als een onmiddellijke upgrade niet mogelijk is, beoordeel dan de dashboardcreatiebevoegdheden en beperk de toegang tot vertrouwde gebruikers. Informeer gebruikers over de risico's van het klikken op verdachte links, zelfs op gedeelde dashboards. Upgraden is de meest effectieve maatregel om de kwetsbaarheid te elimineren en uw Checkmk-omgeving te beschermen.
Actualice Checkmk a la versión 2.5.4 o posterior para mitigar la vulnerabilidad de XSS en los títulos de los dashlets. Asegúrese de aplicar los parches de seguridad correspondientes para las versiones 2.3.0p46, 2.4.0p25 y 2.5.0. La actualización corrige la falta de sanitización adecuada de los enlaces en los títulos de los dashlets, previniendo así la ejecución de scripts maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een 'dashlet' is een widget of visuele component die op een Checkmk-dashboard wordt weergegeven. Het toont specifieke monitoringinformatie.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee een aanvaller kwaadaardige scripts in webpagina's kan injecteren die door andere gebruikers worden bekeken.
Als u niet onmiddellijk kunt upgraden, beperk dan de dashboardcreatiebevoegdheden en informeer gebruikers over de risico's van het klikken op verdachte links.
Deze kwetsbaarheid heeft invloed op Checkmk-installaties die de genoemde versies gebruiken: 2.2.0 (End of Life), 2.3.0 vóór 2.3.0p46, 2.4.0 vóór 2.4.0p25 en de bètaversie van 2.5.0.
Raadpleeg de officiële Checkmk-documentatie voor gedetailleerde instructies over het upgraden naar de nieuwste versie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.