CVE-2026-7765
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
Błąd autoryzacji w widżecie wiadomości użytkownika w Checkmk <2.5.0p5 pozwala na zwracanie wiadomości twórcy dashboardu zamiast wiadomości widza. Atakujący, znając ważny token udostępnienia publicznego dashboardu, może odczytać osobiste wiadomości nadawcy, wysyłając żądania do odpowiedniego punktu końcowego.
Ocena ryzyka
Organizacja może być narażona na ujawnienie poufnych informacji, co może prowadzić do naruszenia prywatności użytkowników oraz utraty zaufania do systemu.
Rekomendacja
Zaleca się aktualizację Checkmk do wersji 2.5.0p5 lub nowszej, aby usunąć tę podatność oraz przegląd polityki dostępu do dashboardów.
Oryginalny opis (angielski, źródło NVD)
Incorrect authorization in the User Messages dashboard widget in Checkmk <2.5.0p5 causes the message-fetching endpoints to return the dashboard creator's messages rather than the viewer's, allowing an attacker who knows a valid public dashboard share token to read the issuer's personal messages by sending requests to the underlying endpoint, even without a User Messages widget present.

