Katalog CVE

CVE-2026-7765

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

Błąd autoryzacji w widżecie wiadomości użytkownika w Checkmk <2.5.0p5 pozwala na zwracanie wiadomości twórcy dashboardu zamiast wiadomości widza. Atakujący, znając ważny token udostępnienia publicznego dashboardu, może odczytać osobiste wiadomości nadawcy, wysyłając żądania do odpowiedniego punktu końcowego.

Ocena ryzyka

Organizacja może być narażona na ujawnienie poufnych informacji, co może prowadzić do naruszenia prywatności użytkowników oraz utraty zaufania do systemu.

Rekomendacja

Zaleca się aktualizację Checkmk do wersji 2.5.0p5 lub nowszej, aby usunąć tę podatność oraz przegląd polityki dostępu do dashboardów.

Oryginalny opis (angielski, źródło NVD)

Incorrect authorization in the User Messages dashboard widget in Checkmk <2.5.0p5 causes the message-fetching endpoints to return the dashboard creator's messages rather than the viewer's, allowing an attacker who knows a valid public dashboard share token to read the issuer's personal messages by sending requests to the underlying endpoint, even without a User Messages widget present.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS