Sicherheitsforscherin Lisa Gnedt von SBA Research hat eine schwerwiegende Cross-Site-Scripting-Schwachstelle (CVE-2025-39663) in Checkmk entdeckt. Die Lücke betrifft Checkmk-Versionen vor 2.4.0p14 und 2.3.0p39 sowie ältere Branches ab 2.0.0. Der Fehler tritt in verteilten Monitoring-Umgebungen auf, wenn ein verbundenes Remote-System unzureichend validierte HTML-Ausgaben an die zentrale Instanz sendet.
Ein Angreifer mit Kontrolle über eine Remote-Site kann JavaScript-Code einschleusen, der in der Benutzeroberfläche der zentralen Checkmk-Instanz ausgeführt wird. Dadurch lassen sich Benutzersitzungen übernehmen – und im Fall administrativer Rechte sogar beliebiger Code auf dem zentralen Server ausführen.
Die Schwachstelle wurde mit einem CVSS-Score von 9.1 (kritisch) bewertet. Betroffene Nutzer sollten dringend auf Checkmk 2.4.0p14 oder 2.3.0p39 aktualisieren und die Option „Trust this site completely“ für Remote-Sites deaktivieren.
