| タイトル | Check MKにおける不正な認証に関する脆弱性 |
|---|---|
| 概要 | Checkmk 2.5.0p5 のユーザーメッセージダッシュボードウィジェットにおいて、不正な認可が存在し、そのためメッセージ取得用エンドポイントが閲覧者ではなくダッシュボード作成者のメッセージを返す問題が発生します。この脆弱性により、有効な公開ダッシュボード共有トークンを知っている攻撃者は、ユーザーメッセージウィジェットが存在しなくても基盤となるエンドポイントにリクエストを送信し、発行者の個人的なメッセージを読み取ることが可能となります。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月8日0:00 |
| 登録日 | 2026年6月10日14:25 |
| 最終更新日 | 2026年6月10日14:25 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Check MK |
| Check MK 2.5.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月10日] 掲載 |
2026年6月10日14:25 |
| 概要 | Incorrect authorization in the User Messages dashboard widget in Checkmk <2.5.0p5 causes the message-fetching endpoints to return the dashboard creator's messages rather than the viewer's, allowing an attacker who knows a valid public dashboard share token to read the issuer's personal messages by sending requests to the underlying endpoint, even without a User Messages widget present. |
|---|---|
| 公表日 | 2026年6月8日22:16 |
| 登録日 | 2026年6月9日4:14 |
| 最終更新日 | 2026年6月9日23:49 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:checkmk:checkmk:2.5.0:-:*:*:*:*:*:* | |||||
| cpe:2.3:a:checkmk:checkmk:2.5.0:b1:*:*:*:*:*:* | |||||
| cpe:2.3:a:checkmk:checkmk:2.5.0:b2:*:*:*:*:*:* | |||||
| cpe:2.3:a:checkmk:checkmk:2.5.0:b3:*:*:*:*:*:* | |||||
| cpe:2.3:a:checkmk:checkmk:2.5.0:p1:*:*:*:*:*:* | |||||
| cpe:2.3:a:checkmk:checkmk:2.5.0:p2:*:*:*:*:*:* | |||||
| cpe:2.3:a:checkmk:checkmk:2.5.0:p3:*:*:*:*:*:* | |||||
| cpe:2.3:a:checkmk:checkmk:2.5.0:p4:*:*:*:*:*:* | |||||