CVE-2021-40904
https://notcve.org/view.php?id=CVE-2021-40904
The web management console of CheckMK Raw Edition (versions 1.5.0 to 1.6.0) allows a misconfiguration of the web-app Dokuwiki (installed by default), which allows embedded php code. As a result, remote code execution is achieved. Successful exploitation requires access to the web management interface, either with valid credentials or with a hijacked session by a user with the role of administrator. La consola de administración web de CheckMK Raw Edition (versiones 1.5.0 a 1.6.0) permite una configuración errónea de la web-app Dokuwiki (instalada por defecto), que permite una inserción de código php. Como resultado, es conseguida una ejecución de código remota. • https://github.com/Edgarloyola/CVE-2021-40904 http://checkmk.com • CWE-276: Incorrect Default Permissions •
CVE-2022-24566
https://notcve.org/view.php?id=CVE-2022-24566
In Checkmk <=2.0.0p19 fixed in 2.0.0p20 and Checkmk <=1.6.0p27 fixed in 1.6.0p28, the title of a Predefined condition is not properly escaped when shown as condition, which can result in Cross Site Scripting (XSS). En Checkmk versiones anteriores a 2.0.0p19 incluyéndola, corregido en 2.0.0p20 y Checkmk versiones anteriores a 1.6.0p27 incluyéndola, corregido en 1.6.0p28, el título de una condición predefinida no es escapado apropiadamente cuando es mostrado como condición, lo que puede resultar en un ataque de tipo Cross Site Scripting (XSS) • https://checkmk.com/werk/13717 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-24565
https://notcve.org/view.php?id=CVE-2022-24565
Checkmk <=2.0.0p19 Fixed in 2.0.0p20 and Checkmk <=1.6.0p27 Fixed in 1.6.0p28 are affected by a Cross Site Scripting (XSS) vulnerability. The Alias of a site was not properly escaped when shown as condition for notifications. Checkmk versiones anteriores a 2.0.0p19 incluyéndola, Corregido en versión 2.0.0p20 y Checkmk versiones anteriores a 1.6.0p27 incluyéndola, Corregido en versión 1.6.0p28, están afectados por una vulnerabilidad de tipo Cross Site Scripting (XSS). El Alias de un sitio no se escapaba correctamente cuando era mostrado como condición para las notificaciones • https://checkmk.com/werk/13716 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-24564
https://notcve.org/view.php?id=CVE-2022-24564
Checkmk <=2.0.0p19 contains a Cross Site Scripting (XSS) vulnerability. While creating or editing a user attribute, the Help Text is subject to HTML injection, which can be triggered for editing a user. Checkmk versiones anteriores a 2.0.0p19 incluyéndola, contiene una vulnerabilidad de tipo Cross Site Scripting (XSS). Al crear o editar un atributo de usuario, el texto de ayuda está sujeto a la inyección de HTML, que puede ser desencadenado para editar un usuario • https://checkmk.com/werk/13199 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-28919
https://notcve.org/view.php?id=CVE-2020-28919
A stored cross site scripting (XSS) vulnerability in Checkmk 1.6.0x prior to 1.6.0p19 allows an authenticated remote attacker to inject arbitrary JavaScript via a javascript: URL in a view title. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en Checkmk versiones 1.6.0x anteriores a 1.6.0p19, permite a un atacante remoto autenticado inyectar JavaScript arbitrario por medio de una URL en el título de una vista • https://checkmk.com/check_mk-werks.php?werk_id=11501 https://emacsninja.com/posts/cve-2020-28919-stored-xss-in-checkmk-160p18.html https://github.com/tribe29/checkmk/commit/c00f450f884d8a229b7d8ab3f0452ed802a1ae04 https://github.com/tribe29/checkmk/commit/e7fd8e4c90be490e4293ec91804d00ec01af5ca6 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •