close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Aktualisierte Versionen der Netzwerk-\u00dcberwachungssoftware Checkmk stopfen ein Sicherheitsleck. Angreifer k\u00f6nnen b\u00f6sartiges JavaScript in Logs schmuggeln, das etwa mittels Phishing-Links zugreifbar wird.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n Laut Schwachstellenbeschreibung auf Github f\u00fchrt unzureichende Filterung von Eingaben in Checkmk dazu, dass Angreifer, die die Ausgaben von Host-Checks manipulieren und darin b\u00f6sartiges JavaScript schleusen k\u00f6nnen, das in den \u201eSynthetic Monitoring\u201c HTML-Logs landet. Klicken Admins auf einen pr\u00e4parierten Phishing-Link, kann das beim Rendern der Log-Eintr\u00e4ge in der Checkmk-UI den eingeschleusten Code ausf\u00fchren \u2013 mit Phishing-Links lie\u00dfe sich die Sandbox aushebeln (CVE-2025-64999<\/a>, CVSS4 7.3, Risiko \u201ehoch\u201c).<\/p>\n Checkmk-L\u00fccke: Abweichende Risikoeinstufung<\/p>\n Abweichend von der Einstufung von Checkmk sieht das CERT-Bund des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) das Risiko jedoch als \u201ekritisch\u201c an. Die IT-Sicherheitsexperten kommen in ihrer Schwachstellenmeldung<\/a> auf den CVSS-Wert 9.0.<\/p>\n Betroffen sind Checkmk-Versionen vor 2.4.0p22<\/a> aus der vergangenen Woche sowie vor 2.3.0p43. Laut Mitteilung von Checkmk haben die Entwickler die Schwachstelle auch in den Beta-Versionen zu Checkmk 2.5.0 und 2.6.0 ausgebessert. IT-Verantwortliche sollten z\u00fcgig auf die fehlerkorrigierten Builds aktualisieren.<\/p>\n
\n English<\/a>.<\/p>\n