Kritische XSS-Lücke in Checkmk – Remote Sites können Zentrale kompromittieren

Sicherheitsforscherin Lisa Gnedt von SBA Research hat eine schwerwiegende Cross-Site-Scripting-Schwachstelle (CVE-2025-39663) in Checkmk entdeckt. Die Lücke betrifft Checkmk-Versionen vor 2.4.0p14 und 2.3.0p39 sowie ältere Branches ab 2.0.0. Der Fehler tritt in verteilten Monitoring-Umgebungen auf, wenn ein verbundenes Remote-System unzureichend validierte HTML-Ausgaben an die zentrale Instanz sendet.

Ein Angreifer mit Kontrolle über eine Remote-Site kann JavaScript-Code einschleusen, der in der Benutzeroberfläche der zentralen Checkmk-Instanz ausgeführt wird. Dadurch lassen sich Benutzer­sitzungen übernehmen – und im Fall administrativer Rechte sogar beliebiger Code auf dem zentralen Server ausführen.

Die Schwachstelle wurde mit einem CVSS-Score von 9.1 (kritisch) bewertet. Betroffene Nutzer sollten dringend auf Checkmk 2.4.0p14 oder 2.3.0p39 aktualisieren und die Option „Trust this site completely“ für Remote-Sites deaktivieren.

Related Posts

Kritische Schwachstelle in MOVEit Transfer entdeckt

Progress hat eine schwerwiegende Sicherheitslücke (CVE-2025-10932) in allen Versionen seiner MOVEit-Transfer-Software bekannt gegeben. Die Schwachstelle betrifft das AS2-Modul und wird mit einem CVSS-Score von 8.2 (hoch) bewertet. Ursache ist eine Uncontrolled Resource Consumption (CWE-400), die Angreifern ermöglichen kann, durch gezielte Anfragen Systemressourcen übermäßig zu beanspruchen und so den Dienst zu stören oder lahmzulegen.

Read More

Kritische Authentifizierungs­lücke in Dell Storage Manager ermöglicht Remote-Zugriff ohne Login

Dell warnt vor einer kritischen Sicherheitslücke (CVE-2025-43995) in Dell Storage Center / Dell Storage Manager (DSM) Version 20.1.21, die eine Umgehung der Authentifizierung erlaubt. Laut Dell kann ein unauthentifizierter, entfernter Angreifer über manipulierte Anfragen an die Komponente ApiProxy.war im DataCollectorEar.ear auf interne DSM-APIs zugreifen.

Read More

Proof of Concept für kritische BIND-Schwachstelle CVE-2025-40778 veröffentlicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einem aktuellen Hinweis (BITS-H Nr. 2025-288152-1032) vor einer akuten Gefährdung von DNS-Servern durch die Veröffentlichung eines Proof of Concept (PoC) zur Schwachstelle CVE-2025-40778 in BIND 9.x.

Read More