CVE-2022-24566
https://notcve.org/view.php?id=CVE-2022-24566
In Checkmk <=2.0.0p19 fixed in 2.0.0p20 and Checkmk <=1.6.0p27 fixed in 1.6.0p28, the title of a Predefined condition is not properly escaped when shown as condition, which can result in Cross Site Scripting (XSS). En Checkmk versiones anteriores a 2.0.0p19 incluyéndola, corregido en 2.0.0p20 y Checkmk versiones anteriores a 1.6.0p27 incluyéndola, corregido en 1.6.0p28, el título de una condición predefinida no es escapado apropiadamente cuando es mostrado como condición, lo que puede resultar en un ataque de tipo Cross Site Scripting (XSS) • https://checkmk.com/werk/13717 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-24565
https://notcve.org/view.php?id=CVE-2022-24565
Checkmk <=2.0.0p19 Fixed in 2.0.0p20 and Checkmk <=1.6.0p27 Fixed in 1.6.0p28 are affected by a Cross Site Scripting (XSS) vulnerability. The Alias of a site was not properly escaped when shown as condition for notifications. Checkmk versiones anteriores a 2.0.0p19 incluyéndola, Corregido en versión 2.0.0p20 y Checkmk versiones anteriores a 1.6.0p27 incluyéndola, Corregido en versión 1.6.0p28, están afectados por una vulnerabilidad de tipo Cross Site Scripting (XSS). El Alias de un sitio no se escapaba correctamente cuando era mostrado como condición para las notificaciones • https://checkmk.com/werk/13716 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-24564
https://notcve.org/view.php?id=CVE-2022-24564
Checkmk <=2.0.0p19 contains a Cross Site Scripting (XSS) vulnerability. While creating or editing a user attribute, the Help Text is subject to HTML injection, which can be triggered for editing a user. Checkmk versiones anteriores a 2.0.0p19 incluyéndola, contiene una vulnerabilidad de tipo Cross Site Scripting (XSS). Al crear o editar un atributo de usuario, el texto de ayuda está sujeto a la inyección de HTML, que puede ser desencadenado para editar un usuario • https://checkmk.com/werk/13199 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-28919
https://notcve.org/view.php?id=CVE-2020-28919
A stored cross site scripting (XSS) vulnerability in Checkmk 1.6.0x prior to 1.6.0p19 allows an authenticated remote attacker to inject arbitrary JavaScript via a javascript: URL in a view title. Una vulnerabilidad de tipo cross site scripting (XSS) almacenada en Checkmk versiones 1.6.0x anteriores a 1.6.0p19, permite a un atacante remoto autenticado inyectar JavaScript arbitrario por medio de una URL en el título de una vista • https://checkmk.com/check_mk-werks.php?werk_id=11501 https://emacsninja.com/posts/cve-2020-28919-stored-xss-in-checkmk-160p18.html https://github.com/tribe29/checkmk/commit/c00f450f884d8a229b7d8ab3f0452ed802a1ae04 https://github.com/tribe29/checkmk/commit/e7fd8e4c90be490e4293ec91804d00ec01af5ca6 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-24908
https://notcve.org/view.php?id=CVE-2020-24908
Checkmk before 1.6.0p17 allows local users to obtain SYSTEM privileges via a Trojan horse shell script in the %PROGRAMDATA%\checkmk\agent\local directory. Checkmk versiones anteriores a 1.6.0p17, permite a usuarios locales alcanzar privilegios SYSTEM por medio de un script de shell de tipo caballo de Troya en el directorio %PROGRAMDATA%\checkmk\agent\local • https://compass-security.com/fileadmin/Research/Advisories/2020-05_CSNC-2020-005_Checkmk_Local_Privilege_Escalation.txt •