Checkmk: Hochriskante Cross-Site-Scripting-Lücke in Netzwerk-Monitor-Software

Aktualisierte Versionen der Netzwerk-Überwachungssoftware Checkmk stopfen ein Sicherheitsleck. Angreifer können bösartiges JavaScript in Logs schmuggeln, das etwa mittels Phishing-Links zugreifbar wird.

Laut Schwachstellenbeschreibung auf Github führt unzureichende Filterung von Eingaben in Checkmk dazu, dass Angreifer, die die Ausgaben von Host-Checks manipulieren und darin bösartiges JavaScript schleusen können, das in den „Synthetic Monitoring“ HTML-Logs landet. Klicken Admins auf einen präparierten Phishing-Link, kann das beim Rendern der Log-Einträge in der Checkmk-UI den eingeschleusten Code ausführen – mit Phishing-Links ließe sich die Sandbox aushebeln (CVE-2025-64999, CVSS4 7.3, Risiko „hoch“).

Checkmk-Lücke: Abweichende Risikoeinstufung

Abweichend von der Einstufung von Checkmk sieht das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) das Risiko jedoch als „kritisch“ an. Die IT-Sicherheitsexperten kommen in ihrer Schwachstellenmeldung auf den CVSS-Wert 9.0.

Betroffen sind Checkmk-Versionen vor 2.4.0p22 aus der vergangenen Woche sowie vor 2.3.0p43. Laut Mitteilung von Checkmk haben die Entwickler die Schwachstelle auch in den Beta-Versionen zu Checkmk 2.5.0 und 2.6.0 ausgebessert. IT-Verantwortliche sollten zügig auf die fehlerkorrigierten Builds aktualisieren.

Bereits Ende Oktober 2025 hatte ein Update eine Cross-Site-Scripting-Schwachstelle in Checkmk geschlossen. Sie wurde dort aber auch von den Entwicklern als kritisches Sicherheitsrisiko eingestuft. Die Beschreibung der Sicherheitslücke liest sich recht ähnlich. Beim verteilten Monitoring-Betrieb konnten verbundene Remote-Sites JavaScript-Code in das Userinterface der zentralen Instanz injizieren. Allerdings war dort kein Anklicken eines Phishing-Links nötig, um den Schadcode zu starten.

(dmk)