Katalog CVE

CVE-2026-7186

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w widżecie dashboardu. Użytkownik z uprawnieniami do edytowania dashboardu może zapisać URL z niebezpiecznym schematem URI, takim jak javascript:, co pozwala na wykonywanie skryptów w przeglądarkach innych użytkowników podczas przeglądania dashboardu.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwego kodu, co może prowadzić do kradzieży danych lub przejęcia sesji użytkowników przeglądających dashboard.

Rekomendacja

Zaleca się aktualizację Checkmk do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie uprawnień do edytowania dashboardu tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Stored cross-site scripting in the URL dashboard widget in Checkmk <2.5.0p5, <2.4.0p31, <2.3.0p48, and all 2.2.0 versions allows a user with dashboard editing permissions to store a URL with a dangerous URI scheme such as javascript: that executes scripts in other users' browsers when they view the dashboard.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS