Checkmk 软件存在严重安全漏洞

关键要点

根据 The Hacker News 的报道，SonarSource 研究人员发现，IT 基础设施监控软件 Checkmk 存在四个安全漏洞，这些漏洞可被利用来实现服务器的完全接管。这些安全缺陷包括 watolib 的 autphp 中的代码注入漏洞和 NagVis 中的任意文件读取漏洞，这两个漏洞的严重性均为关键级别，还有 Checkmk 的 Livestatus 封装和 Python API 中的中等严重性命令注入缺陷以及主机注册 API 中的服务器端请求伪造漏洞。

SonarSource 研究员 Stefan Schiller 表示：“这些漏洞可以被未经验证的远程攻击者串联使用，以获取在运行 Checkmk 版本 210p10 和更低版本的服务器上的代码执行权限。”威胁参与者可能会利用这些串联的漏洞获取 Checkmk 的图形用户界面 (GUI) 访问权限。Schiller 进一步指出：“这种访问权限可以通过利用 Checkmk GUI 中名为 watolib 的子组件中的代码注入漏洞，进一步转化为远程代码执行。该组件会生成名为 authphp 的文件，供 NagVis 集成使用。”为这些漏洞发布的修复补丁已在九月份作为更新的一部分推出。

注意：确保尽快更新软件以修复这些漏洞。