CVE-2026-8833
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje niewłaściwe neutralizowanie znaków zakodowanych w HTML w funkcji walidacji URL. Umożliwia to uwierzytelnionemu użytkownikowi ominięcie walidacji URL i wstrzyknięcie złośliwych adresów URL, takich jak URI javascript:, co prowadzi do ataków typu cross-site scripting, gdy inny użytkownik wchodzi w interakcję z przygotowanym linkiem.
Ocena ryzyka
Organizacja może być narażona na ataki typu cross-site scripting, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wykorzystanie tej podatności może również wpłynąć na reputację organizacji oraz zaufanie użytkowników.
Rekomendacja
Zaleca się aktualizację Checkmk do najnowszej wersji, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania i naprawienia innych potencjalnych luk.
Oryginalny opis (angielski, źródło NVD)
Improper neutralization of HTML-encoded characters in the URL validation function in Checkmk <2.5.0p5, <2.4.0p31, <2.3.0p48, and all 2.2.0 versions allows an authenticated user to bypass URL validation and inject malicious URLs such as javascript: URIs, resulting in cross-site scripting when another user interacts with the crafted link.

