CVE-2024-28826 – Unrestricted upload and download paths in check_sftp
https://notcve.org/view.php?id=CVE-2024-28826
Improper restriction of local upload and download paths in check_sftp in Checkmk before 2.3.0p4, 2.2.0p27, 2.1.0p44, and in Checkmk 2.0.0 (EOL) allows attackers with sufficient permissions to configure the check to read and write local files on the Checkmk site server. La restricción inadecuada de las rutas de carga y descarga locales en check_sftp en Checkmk anterior a 2.3.0p4, 2.2.0p27, 2.1.0p44 y en Checkmk 2.0.0 (EOL) permite a atacantes con permisos suficientes configurar la verificación para leer y escribir archivos locales en el servidor del sitio Checkmk. • https://checkmk.com/werk/15200 • CWE-73: External Control of File Name or Path •
CVE-2024-28825 – Brute-force protection ineffective for some login methods
https://notcve.org/view.php?id=CVE-2024-28825
Improper restriction of excessive authentication attempts on some authentication methods in Checkmk before 2.3.0b5 (beta), 2.2.0p26, 2.1.0p43, and in Checkmk 2.0.0 (EOL) facilitates password brute-forcing. La restricción inadecuada de intentos de autenticación excesivos en algunos métodos de autenticación en Checkmk anteriores a 2.3.0b5 (beta), 2.2.0p26, 2.1.0p43 y en Checkmk 2.0.0 (EOL) facilita la fuerza bruta de contraseñas. • https://checkmk.com/werk/15198 • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVE-2024-3367 – Argument injection to runmqsc
https://notcve.org/view.php?id=CVE-2024-3367
Argument injection in websphere_mq agent plugin in Checkmk 2.0.0, 2.1.0, <2.2.0p26 and <2.3.0b5 allows local attacker to inject one argument to runmqsc La inyección de argumentos en el complemento del agente websphere_mq en Checkmk 2.0.0, 2.1.0, <2.2.0p25 y <2.3.0b5 permite a un atacante local inyectar un argumento para ejecutar mqsc • https://checkmk.com/werk/16615 • CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') CWE-349: Acceptance of Extraneous Untrusted Data With Trusted Data •
CVE-2024-2380 – XSS in graph rendering
https://notcve.org/view.php?id=CVE-2024-2380
Stored XSS in graph rendering in Checkmk <2.3.0b4. XSS almacenado en representación gráfica en Checkmk <2.3.0b4. • https://checkmk.com/werk/16618 • CWE-80: Improper Neutralization of Script-Related HTML Tags in a Web Page (Basic XSS) •
CVE-2024-28824 – Privilege escalation in mk_informix plugin
https://notcve.org/view.php?id=CVE-2024-28824
Least privilege violation and reliance on untrusted inputs in the mk_informix Checkmk agent plugin before Checkmk 2.3.0b4 (beta), 2.2.0p24, 2.1.0p41 and 2.0.0 (EOL) allows local users to escalate privileges. La menor violación de privilegios y la dependencia de entradas que no son de confianza en el complemento del agente mk_informix Checkmk anterior a Checkmk 2.3.0b4 (beta), 2.2.0p24, 2.1.0p41 y 2.0.0 (EOL) permiten a los usuarios locales escalar privilegios. • https://checkmk.com/werk/16198 • CWE-272: Least Privilege Violation CWE-807: Reliance on Untrusted Inputs in a Security Decision •