CVE-2026-3466 describes a stored Cross-Site Scripting (XSS) vulnerability affecting Checkmk versions 2.2.0 through 2.5.0. This vulnerability allows an attacker with dashboard creation privileges to inject malicious scripts into dashlet titles, potentially impacting users who view shared dashboards. The vulnerability was published on April 7, 2026, and a fix is available in Checkmk 2.5.0.
Checkmk 中的 CVE-2026-3466 允许具有仪表板创建权限的攻击者通过操纵共享仪表板上小部件(dashlet)标题中的链接来执行存储型跨站脚本 (XSS) 攻击。如果受害者点击精心制作的恶意链接,攻击者可以在受害者的浏览器上下文中执行 JavaScript 代码,从而可能破坏其会话或窃取敏感信息。受影响的版本包括 Checkmk 2.2.0(EOL),2.3.0 在 2.3.0p46 之前,2.4.0 在 2.4.0p25 之前,以及 2.5.0 的测试版。此漏洞的严重程度在于攻击者可以轻松地诱骗用户点击链接,尤其是在仪表板被广泛共享的环境中。
攻击者需要具有在 Checkmk 中创建或修改仪表板的权限。一旦拥有这些权限,他们就可以将恶意 JavaScript 代码注入到小部件(dashlet)标题中。当具有访问权限的共享仪表板上的用户点击此标题时,JavaScript 代码将在其浏览器中执行。这种攻击在仪表板在多个用户之间共享的协作环境中特别有效,从而扩大了攻击面。小部件(dashlet)标题输入的适当清理不足是此漏洞的根本原因。
Organizations using Checkmk for monitoring and those with shared dashboards are at risk. Specifically, environments where multiple users have dashboard creation privileges and dashboards are routinely shared among a large user base are particularly vulnerable. Users relying on Checkmk for critical infrastructure monitoring should prioritize patching.
• php: Examine Checkmk dashboard configurations for suspicious dashlet titles containing HTML or JavaScript code. Use grep to search for <script> tags or other potentially malicious code within the dashlet title fields in the Checkmk database or configuration files.
grep -r '<script>' /path/to/checkmk/config_files• generic web: Monitor Checkmk access logs for unusual requests targeting dashboard creation endpoints. Look for POST requests with suspicious data in the dashlet title parameter.
curl -s 'https://checkmk.example.com/dashboard/create' -d 'title=<script>alert("XSS")</script>' -vdisclosure
漏洞利用状态
EPSS
0.05% (16% 百分位)
CISA SSVC
减轻 CVE-2026-3466 的方法是将 Checkmk 升级到 2.5.0 或更高版本,其中包含修复程序。2.3.0p46 和 2.4.0p25 也解决了此漏洞。如果无法立即升级,请审查仪表板创建权限,将访问权限限制为受信任的用户。教育用户有关点击可疑链接的风险,即使在共享仪表板上也是如此。升级是消除漏洞并保护您的 Checkmk 环境的最有效措施。
Actualice Checkmk a la versión 2.5.4 o posterior para mitigar la vulnerabilidad de XSS en los títulos de los dashlets. Asegúrese de aplicar los parches de seguridad correspondientes para las versiones 2.3.0p46, 2.4.0p25 y 2.5.0. La actualización corrige la falta de sanitización adecuada de los enlaces en los títulos de los dashlets, previniendo así la ejecución de scripts maliciosos.
漏洞分析和关键警报直接发送到您的邮箱。
'小部件(dashlet)' 是在 Checkmk 仪表板上显示的窗口小部件或视觉组件。它显示特定的监控信息。
XSS (跨站脚本) 是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的 Web 页面中。
如果无法立即升级,请限制仪表板创建权限,并教育用户有关点击可疑链接的风险。
此漏洞会影响使用以下版本的 Checkmk 安装:2.2.0(EOL),2.3.0 在 2.3.0p46 之前,2.4.0 在 2.4.0p25 之前,以及 2.5.0 的测试版。
请参阅 Checkmk 官方文档以获取有关如何升级到最新版本的详细说明。