平台
linux
组件
checkmk
修复版本
2.5.4
2.3.0p46
2.4.0p25
2.5.0b3
CVE-2025-39666 是 Checkmk 软件中的一个本地权限提升漏洞。攻击者可以利用此漏洞,通过操纵在 omd 管理命令执行期间由 root 处理的网站上下文文件,将自身权限提升至 root 级别。此漏洞影响 Checkmk 2.2.0 (EOL), 2.3.0 之前的 2.3.0p46, 2.4.0 之前的 2.4.0p25 以及 2.5.0 (beta) 之前的 2.5.0b3 版本。已发布修复版本 2.5.0b3。
Checkmk 中的 CVE-2025-39666 允许站点用户提升其权限到 root。 这通过操纵站点上下文中的文件来实现,这些文件在 root 用户运行 omd 管理命令时进行处理。 受影响的版本包括 Checkmk 2.2.0(已结束支持)、Checkmk 2.3.0 在 2.3.0p46 之前、Checkmk 2.4.0 在 2.4.0p25 之前以及 Checkmk 2.5.0(beta)在 2.5.0b3 之前。 成功利用此漏洞可能允许攻击者获得对 Checkmk 系统的完全控制权,从而危及受监控系统和存储的敏感信息。
具有 Checkmk 站点访问权限的用户可以利用此漏洞。 攻击者需要操纵站点目录中特定文件,这些文件由 omd 命令处理,当以 root 权限运行时。 利用的复杂性取决于站点配置和用户权限,但通常被认为是重大的风险,因为存在提升 root 权限的可能性。
Organizations using Checkmk for monitoring, particularly those with multiple site users and less restrictive file permissions, are at risk. Environments where the omd command is frequently used or accessible to a wide range of users are especially vulnerable. Legacy Checkmk installations running older, unsupported versions are also at increased risk.
• linux / server:
find /omd/sites/*/ -type f -perm -u=w -print0 | xargs -0 ls -l | grep 'site_user:'• linux / server:
journalctl -u checkmk_agent -g 'omd command' | grep -i error• linux / server:
ps aux | grep -i omddisclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVE-2025-39666 的主要缓解措施是升级到包含修复程序的 Checkmk 版本。 这包括 Checkmk 2.5.0b3 或更高版本。 如果无法立即升级,建议限制站点用户的权限,以防止他们修改站点上下文中的关键文件。 同样建议定期检查和审核站点文件,以查找未经授权的修改。 实施这些措施将大大降低被利用的风险。
Actualice Checkmk a la versión 2.5.4 o posterior para mitigar la vulnerabilidad. La actualización corrige la forma en que se procesan los archivos en el contexto del sitio, evitando la escalada de privilegios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
这意味着此版本将不再接收安全更新或错误修复。 强烈建议迁移到受支持的版本。
您可以通过在命令行中运行 checkmk --version 命令来验证您的 Checkmk 版本。
omd 命令使用的站点目录中的配置文件和脚本是最容易受到操纵的。 Checkmk 文档提供了有关这些文件的具体详细信息。
建议进行全面的安全审计,包括检查系统日志并搜索最近修改的文件。
将受影响的系统从网络隔离,通知您的安全团队,并遵循贵组织的安全事件响应程序。