Plataforma
linux
Componente
checkmk
Corrigido em
2.5.0b4
2.4.0p26
2.3.0p47
A vulnerabilidade CVE-2026-33457 reside na página de gráficos de previsão do Checkmk, permitindo a injeção de comandos Livestatus. Um usuário autenticado pode explorar essa falha injetando comandos arbitrários através do parâmetro do nome do serviço, devido à falta de sanitização adequada da descrição do serviço. As versões afetadas incluem o Checkmk 2.3.0 até 2.5.0b4, e a correção foi implementada na versão 2.5.0b4.
A vulnerabilidade CVE-2026-33457 no Checkmk permite que um usuário autenticado injete comandos Livestatus arbitrários através do parâmetro do nome do serviço na página de gráficos de previsão. Isso ocorre devido à sanitização insuficiente do valor da descrição do serviço. Um ataque bem-sucedido pode levar à execução remota de código, acesso não autorizado a dados confidenciais e interrupção do serviço. A severidade desta vulnerabilidade depende dos privilégios do usuário autenticado e da configuração do sistema Checkmk. Um atacante pode explorar isso para comprometer potencialmente a confidencialidade, integridade e disponibilidade do sistema. O impacto é amplificado se os comandos Livestatus puderem ser usados para acessar ou modificar dados nos sistemas monitorados subjacentes.
A vulnerabilidade é explorada através da página de gráficos de previsão no Checkmk. Um usuário autenticado pode manipular o parâmetro do nome do serviço para injetar comandos Livestatus maliciosos. A falta de validação adequada do valor da descrição do serviço permite que esses comandos sejam executados. A complexidade da exploração é relativamente baixa, exigindo apenas o conhecimento da vulnerabilidade e a capacidade de modificar o nome do serviço. O impacto potencial é alto, pois a execução de comandos Livestatus pode comprometer a segurança do sistema Checkmk e dos sistemas que ele monitora.
Organizations heavily reliant on Checkmk for monitoring critical infrastructure are particularly at risk. Environments with shared Checkmk instances or those with weak authentication practices are also more vulnerable. Specifically, those using legacy Checkmk configurations with less stringent input validation are at increased risk.
• linux / server:
journalctl -u checkmk -g "livestatus command injection"• linux / server:
ps aux | grep livestatus | grep -i "crafted service name"• generic web:
curl -I 'http://checkmk_server/prediction_graph?service_description=<crafted_service_name>' | grep 'Livestatus'disclosure
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
A mitigação recomendada para CVE-2026-33457 é atualizar o Checkmk para a versão 2.5.0b4 ou superior, ou para as versões 2.4.0p26 ou 2.3.0p47. Essas versões incluem correções para a vulnerabilidade de injeção Livestatus. Como uma solução alternativa temporária, restrinja o acesso à página de gráficos de previsão a usuários com privilégios mínimos. Revise e fortaleça regularmente as políticas de controle de acesso para garantir que apenas usuários autorizados possam interagir com o Checkmk. Monitorar os logs do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques. Considere implementar um Firewall de Aplicações Web (WAF) para fornecer uma camada adicional de defesa.
Actualice Checkmk a la versión 2.5.0b4, 2.4.0p26 o 2.3.0p47 o superior para mitigar la vulnerabilidad. La actualización corrige la falta de sanitización adecuada de la descripción del servicio, previniendo la inyección de comandos Livestatus.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Livestatus é um sistema para monitorar o status dos serviços de rede em tempo real.
Significa que o atacante deve ter feito login no Checkmk com uma conta de usuário válida.
Versões anteriores a 2.5.0b4, 2.4.0p26 e 2.3.0p47 são vulneráveis.
Verifique a versão do Checkmk na interface de administração ou consultando a documentação oficial.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas a atualização é a melhor defesa.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.