📄 Description (English)
Incorrect authorization in the User Messages dashboard widget in Checkmk <2.5.0p5 causes the message-fetching endpoints to return the dashboard creator's messages rather than the viewer's, allowing an attacker who knows a valid public dashboard share token to read the issuer's personal messages by sending requests to the underlying endpoint, even without a User Messages widget present.
🤖 AI Executive Summary
CVE-2026-7765 is an authorization bypass vulnerability in Checkmk versions prior to 2.5.0p5 affecting the User Messages dashboard widget. The flaw allows attackers with a valid public dashboard share token to read the dashboard creator's personal messages by directly accessing message-fetching endpoints, bypassing intended access controls. While no exploit is currently available and the CVSS score is moderate (5.3), the vulnerability poses a risk to organizations using Checkmk for infrastructure monitoring, particularly those sharing dashboards externally.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Jun 9, 2026 18:34
🇸🇦 Saudi Arabia Impact Assessment
Saudi organizations using Checkmk for IT infrastructure monitoring and system administration are at risk, particularly: (1) Government agencies and NCA-regulated entities using Checkmk for critical infrastructure monitoring; (2) Banking and financial institutions (SAMA-regulated) using Checkmk for system health monitoring; (3) Energy sector organizations (ARAMCO, utilities) relying on Checkmk for operational technology monitoring; (4) Telecommunications providers (STC, Mobily) using Checkmk for network infrastructure management. The vulnerability is particularly concerning for organizations that share Checkmk dashboards with external partners, contractors, or managed service providers, as attackers could extract sensitive operational messages and system information.
🏢 Affected Saudi Sectors
Government and Public Administration
Banking and Financial Services
Energy and Utilities
Telecommunications
Healthcare
Critical Infrastructure
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
6.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all Checkmk instances running versions 2.5.0 through 2.5.0p4 in your environment
2. Audit all active public dashboard share tokens and document their distribution
3. Review access logs for suspicious requests to message-fetching endpoints (typically /api/v1/messages or similar)
4. Disable public dashboard sharing temporarily if possible until patching is complete
Patching Guidance:
1. Upgrade to Checkmk 2.5.0p5 or later immediately when available
2. For organizations unable to patch immediately, restrict network access to Checkmk instances to trusted networks only
3. Implement IP whitelisting for dashboard access endpoints
Compensating Controls:
1. Implement Web Application Firewall (WAF) rules to block direct access to message-fetching endpoints from public dashboard share tokens
2. Monitor and alert on any API calls to message endpoints from non-authenticated sessions
3. Rotate all public dashboard share tokens after patching
4. Implement request rate limiting on message-fetching endpoints
5. Enable comprehensive audit logging for all dashboard access and API calls
Detection Rules:
1. Alert on requests to /api/v1/messages or message-fetching endpoints using only a public share token
2. Monitor for repeated failed authentication attempts followed by successful message endpoint access
3. Track unusual patterns of message endpoint access from external IP addresses
4. Flag any message API requests that return data for users other than the authenticated requester
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. حدد جميع مثيلات Checkmk التي تعمل بالإصدارات 2.5.0 إلى 2.5.0p4 في بيئتك
2. قم بمراجعة جميع رموز مشاركة لوحة المعلومات العامة النشطة وتوثيق توزيعها
3. راجع سجلات الوصول للطلبات المريبة إلى نقاط نهاية جلب الرسائل
4. عطّل مشاركة لوحة المعلومات العامة مؤقتاً إن أمكن حتى يكتمل التصحيح
إرشادات التصحيح:
1. قم بالترقية إلى Checkmk 2.5.0p5 أو إصدار أحدث فوراً عند توفره
2. للمنظمات غير القادرة على التصحيح فوراً، قيّد الوصول إلى شبكة إلى مثيلات Checkmk من الشبكات الموثوقة فقط
3. طبّق قائمة بيضاء IP لنقاط نهاية الوصول إلى لوحة المعلومات
الضوابط البديلة:
1. طبّق قواعد جدار حماية تطبيقات الويب (WAF) لحظر الوصول المباشر إلى نقاط نهاية جلب الرسائل من رموز مشاركة لوحة المعلومات العامة
2. راقب وأصدر تنبيهات بشأن أي استدعاءات API لنقاط نهاية الرسائل من جلسات غير مصرح بها
3. قم بتدوير جميع رموز مشاركة لوحة المعلومات العامة بعد التصحيح
4. طبّق تحديد معدل الطلبات على نقاط نهاية جلب الرسائل
5. فعّل تسجيل التدقيق الشامل لجميع عمليات الوصول إلى لوحة المعلومات واستدعاءات API
قواعد الكشف:
1. أصدر تنبيهات بشأن الطلبات إلى نقاط نهاية جلب الرسائل باستخدام رمز مشاركة عام فقط
2. راقب محاولات المصادقة الفاشلة المتكررة متبوعة بالوصول الناجح إلى نقطة نهاية الرسائل
3. تتبع الأنماط غير العادية لوصول نقطة نهاية الرسائل من عناوين IP الخارجية
4. علّم أي طلبات API للرسائل التي تُرجع بيانات لمستخدمين آخرين غير المستخدم المصرح به
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.9.2.1 - User access management and authorization controls
ECC 2024 A.9.4.3 - Access control for information systems
ECC 2024 A.12.4.1 - Event logging and monitoring
ECC 2024 A.12.4.3 - Administrator and operator logs
🔵 SAMA CSF
SAMA CSF ID.AC-1 - Access Control Policy
SAMA CSF PR.AC-1 - Identities and credentials are managed for authorized devices and users
SAMA CSF PR.AC-3 - Access to physical and logical assets and associated facilities is managed
SAMA CSF DE.AE-1 - A baseline of network operations and expected data flows for users and systems is established and managed
🟡 ISO 27001:2022
ISO 27001:2022 A.5.3 - Segregation of duties
ISO 27001:2022 A.8.2 - User access management
ISO 27001:2022 A.8.3 - User responsibilities
ISO 27001:2022 A.9.2 - User access provisioning
ISO 27001:2022 A.9.4 - Access rights review
🔗 References & Sources 1
📦 Affected Products / CPE 8 entries
checkmk:checkmk:2.5.0
checkmk:checkmk:2.5.0
checkmk:checkmk:2.5.0
checkmk:checkmk:2.5.0
checkmk:checkmk:2.5.0
checkmk:checkmk:2.5.0
checkmk:checkmk:2.5.0
checkmk:checkmk:2.5.0