Ін'єкція команд у Checkmk's Livestatus та Python API (CVSSv3.1 | CERT 🇺🇦
Ін'єкція команд у Checkmk's Livestatus та Python API (CVSSv3.1: 6.8). Зловмисники могли додавати додаткові команди в заголовок запиту AuthUser, використовуючи символи переходу на новий рядок. Це дозволяло запускати довільні команди livestatus, зокрема зовнішні команди до ядра.
Server-Side Request Forgery (SSRF) в agent-receiver (CVSSv3.1: 5.0). Зловмисник міг змусити сервер Checkmk видавати локальні запити на кінцеві точки, які повинні бути доступні тільки з локального хоста. Для використання даної вразливості зловмиснику були б необхідні привілеї для реєстрації хостів.
Дані вразливості вражають Checkmk із версією 2.1.0p10 та нижче, і були виправлені у версії Checkmk 2.1.0p12, випущеній 15 вересня 2022 року.