FEHLER!

Ernsthafte Sicherheitslücke in Checkmk: Angreifer können bösartigen Code einschleusen

Die Sicherheitsforscher bei Checkmk haben kürzlich eine ernstzunehmende Schwachstelle in ihrer Netzwerküberwachungssoftware entdeckt, die Angreifern potenzielle Möglichkeiten eröffnet, bösartigen JavaScript-Code einzuschleusen und damit sensible Daten zu stehlen oder Systeme zu kompromittieren. Die Schwachstelle, offiziell als CVE-2025-64999 klassifiziert und mit einem CVSS-Score von 7,3 eingestuft (als hoch riskant), entsteht durch unzureichende Filtermechanismen bei der Verarbeitung von Eingaben in Checkmk. Experten des CERT-Bund, dem dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zugehörigen Expertenteam, sehen jedoch ein noch höheres Risiko und bewerten die Schwachstelle mit 9,0 im CVSS-Score und klassifizieren sie als kritisch. Das bedeutet, dass eine erfolgreiche Ausnutzung dieser Lücke erhebliche Schäden verursachen könnte.

Das Angriffsszenario sieht folgendermaßen aus: Angreifer könnten Host-Checks manipulieren und in deren Ausgaben bösartigen JavaScript-Code einbetten. Dieser Code gelangt dann ins Synthetic Monitoring System, welches HTML-Logs verwendet. Falls ein Administrator auf einen speziell präparierten Phishing-Link innerhalb dieser Logs klickt, würde der eingeschleuste JavaScript-Code beim Rendern der Log-Einträge in der Checkmk-Oberfläche ausgeführt. Durch diese Methode könnten Angreifer die Sandbox-Sicherheitsmechanismen umgehen und schädliche Aktionen ausführen. Betroffen sind insbesondere ältere Versionen von Checkmk vor 2.4.0p22 und vor 2.3.0p43. Glücklicherweise haben die Entwickler die Schwachstelle bereits in den Beta-Versionen von Checkmk 2.5.0 und 2.6.0 geschlossen. Für alle betroffenen Systeme ist eine sofortige Aktualisierung auf diese fehlerfreien Versionen unerlässlich, um das Risiko eines Angriffs zu minimieren.

Dieses Ereignis erinnert an einen ähnlichen Vorfall aus Ende Oktober 2025, bei dem Remote-Sites JavaScript-Code ins Userinterface der zentralen Checkmk-Instanz injizieren konnten. Der Unterschied besteht jedoch darin, dass im aktuellen Fall ein direkter Klick auf einen Phishing-Link notwendig ist, um den Schadcode zu aktivieren. Dennoch verdeutlicht dieser zweite Vorfall die Notwendigkeit kontinuierlicher Sicherheitsüberprüfungen und Upgrades in komplexen Softwarelösungen wie Checkmk, um Sicherheitslücken frühzeitig zu erkennen und abzuwenden.

Schlagwörter: Checkmk + BSI + 2.4.0p22

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 2. März 2026