{"id":15742,"date":"2026-03-02T07:56:50","date_gmt":"2026-03-02T07:56:50","guid":{"rendered":"https:\/\/byte-bucket.com\/2026\/03\/02\/ernsthafte-sicherheitsluecke-in-checkmk-angreifer-koennen-boesartigen-code-einschleusen\/"},"modified":"2026-03-02T07:56:50","modified_gmt":"2026-03-02T07:56:50","slug":"ernsthafte-sicherheitsluecke-in-checkmk-angreifer-koennen-boesartigen-code-einschleusen","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=15742","title":{"rendered":"Ernsthafte Sicherheitsl\u00fccke in Checkmk: Angreifer k\u00f6nnen b\u00f6sartigen Code einschleusen"},"content":{"rendered":"<p>Die Sicherheitsforscher bei Checkmk haben k\u00fcrzlich eine ernstzunehmende Schwachstelle in ihrer Netzwerk\u00fcberwachungssoftware entdeckt, die Angreifern potenzielle M\u00f6glichkeiten er\u00f6ffnet, b\u00f6sartigen JavaScript-Code einzuschleusen und damit sensible Daten zu stehlen oder Systeme zu kompromittieren. Die Schwachstelle, offiziell als CVE-2025-64999 klassifiziert und mit einem CVSS-Score von 7,3 eingestuft (als hoch riskant), entsteht durch unzureichende Filtermechanismen bei der Verarbeitung von Eingaben in Checkmk. Experten des CERT-Bund, dem dem Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) zugeh\u00f6rigen Expertenteam, sehen jedoch ein noch h\u00f6heres Risiko und bewerten die Schwachstelle mit 9,0 im CVSS-Score und klassifizieren sie als kritisch. Das bedeutet, dass eine erfolgreiche Ausnutzung dieser L\u00fccke erhebliche Sch\u00e4den verursachen k\u00f6nnte. <\/p>\n<p>Das Angriffsszenario sieht folgenderma\u00dfen aus: Angreifer k\u00f6nnten Host-Checks manipulieren und in deren Ausgaben b\u00f6sartigen JavaScript-Code einbetten. Dieser Code gelangt dann ins Synthetic Monitoring System, welches HTML-Logs verwendet. Falls ein Administrator auf einen speziell pr\u00e4parierten Phishing-Link innerhalb dieser Logs klickt, w\u00fcrde der eingeschleuste JavaScript-Code beim Rendern der Log-Eintr\u00e4ge in der Checkmk-Oberfl\u00e4che ausgef\u00fchrt. Durch diese Methode k\u00f6nnten Angreifer die Sandbox-Sicherheitsmechanismen umgehen und sch\u00e4dliche Aktionen ausf\u00fchren. Betroffen sind insbesondere \u00e4ltere Versionen von Checkmk vor 2.4.0p22 und vor 2.3.0p43. Gl\u00fccklicherweise haben die Entwickler die Schwachstelle bereits in den Beta-Versionen von Checkmk 2.5.0 und 2.6.0 geschlossen. F\u00fcr alle betroffenen Systeme ist eine sofortige Aktualisierung auf diese fehlerfreien Versionen unerl\u00e4sslich, um das Risiko eines Angriffs zu minimieren. <\/p>\n<p>Dieses Ereignis erinnert an einen \u00e4hnlichen Vorfall aus Ende Oktober 2025, bei dem Remote-Sites JavaScript-Code ins Userinterface der zentralen Checkmk-Instanz injizieren konnten. Der Unterschied besteht jedoch darin, dass im aktuellen Fall ein direkter Klick auf einen Phishing-Link notwendig ist, um den Schadcode zu aktivieren. Dennoch verdeutlicht dieser zweite Vorfall die Notwendigkeit kontinuierlicher Sicherheits\u00fcberpr\u00fcfungen und Upgrades in komplexen Softwarel\u00f6sungen wie Checkmk, um Sicherheitsl\u00fccken fr\u00fchzeitig zu erkennen und abzuwenden.<\/p>\n<p>Schlagw\u00f6rter: Checkmk + BSI + 2.4.0p22<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Sicherheitsforscher bei Checkmk haben k\u00fcrzlich eine ernstzunehmende Schwachstelle in ihrer Netzwerk\u00fcberwachungssoftware entdeckt, die Angreifern potenzielle M\u00f6glichkeiten er\u00f6ffnet, b\u00f6sartigen JavaScript-Code einzuschleusen und damit sensible Daten zu stehlen oder Systeme zu kompromittieren. Die Schwachstelle, offiziell als CVE-2025-64999 klassifiziert und mit einem CVSS-Score von 7,3 eingestuft (als hoch riskant), entsteht durch unzureichende&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":15741,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15742","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/15742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15742"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/15742\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/15741"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}