Stored cross-site scripting in the URL dashboard widget in Checkmk <2.5.0p5, <2.4.0p31, <2.3.0p48, and all 2.2.0 versions allows a user with dashboard editing permissions to store a URL with a dangerous URI scheme such as javascript: that executes scripts in other users' browsers when they view the dashboard.
Stored XSS vulnerability in Checkmk dashboard widget allows authenticated users with editing permissions to inject malicious scripts via URL fields. When other users view the compromised dashboard, the injected scripts execute in their browsers, potentially compromising their sessions and data.
ثغرة في Checkmk تسمح بحقن برامج نصية ضارة في أداة لوحة معلومات URL من خلال مخططات URI خطرة مثل javascript:. يؤثر هذا على الإصدارات 2.5.0 قبل p5، و2.4.0 قبل p31، و2.3.0 قبل p48، وجميع إصدارات 2.2.0. عندما يعرض المستخدمون الآخرون لوحة المعلومات المخترقة، تُنفذ البرامج النصية المحقونة في سياق متصفحاتهم.
ثغرة XSS مخزنة في أداة لوحة معلومات Checkmk تسمح للمستخدمين المصرحين بتحرير الأذونات بحقن برامج نصية ضارة عبر حقول URL. عند عرض لوحة المعلومات المخترقة، تُنفذ البرامج النصية المحقونة في متصفحات المستخدمين الآخرين.
Update Checkmk to version 2.5.0p5, 2.4.0p31, 2.3.0p48 or later. For version 2.2.0, upgrade to a supported version. Restrict dashboard editing permissions to trusted administrators only. Implement Content Security Policy (CSP) headers to mitigate XSS impact. Review audit logs for unauthorized dashboard modifications.
قم بتحديث Checkmk إلى الإصدار 2.5.0p5 أو 2.4.0p31 أو 2.3.0p48 أو أحدث. بالنسبة للإصدار 2.2.0، قم بالترقية إلى إصدار مدعوم. قيّد أذونات تحرير لوحة المعلومات للمسؤولين الموثوقين فقط. طبّق رؤوس سياسة أمان المحتوى (CSP) للتخفيف من تأثير XSS. راجع سجلات التدقيق للتعديلات غير المصرح بها على لوحة المعلومات.