Katalog CVE

CVE-2026-8078

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w dzienniku zmian ustawień globalnych. Administratorzy mogą wprowadzać złośliwy kod HTML lub JavaScript, który jest wykonywany w przeglądarkach innych użytkowników podczas przeglądania strony Aktywuj zmiany lub dziennika audytu.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego skryptu, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. To stwarza poważne zagrożenie dla bezpieczeństwa organizacji i jej użytkowników.

Rekomendacja

Zaleca się aktualizację Checkmk do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, należy monitorować dzienniki zmian w celu wykrycia potencjalnych złośliwych wpisów.

Oryginalny opis (angielski, źródło NVD)

Stored cross-site scripting in the global settings change log in Checkmk <2.5.0p5, <2.4.0p31, <2.3.0p48, and all 2.2.0 versions allows an administrator who can change global settings to store malicious HTML or JavaScript in changelog messages that executes in other users' browsers when they view the Activate Changes page or Audit log.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS