关键信息 漏洞详情 漏洞编号: Werk #17984 标题: Path-Traversal in report scheduler 日期: Aug 13, 2025 级别: Trivial Change 类别: Security Fix 兼容性: Compatible - no manual interaction needed 影响版本 Checkmk versions & editions: - 2.4.0p13: Checkmk Enterprise (CEE), Checkmk Cloud (CCE), Checkmk MSP (CME) - 2.3.0p38: Checkmk Enterprise (CEE), Checkmk Cloud (CCE), Checkmk MSP (CME) - 2.2.0p46: Checkmk Enterprise (CEE), Checkmk Cloud (CCE), Checkmk MSP (CME) 漏洞描述 问题: 认证用户可能通过报告调度器对站点的本地文件目录进行路径遍历攻击。 原因: 宏转义不足,允许攻击者利用生成的.mk文件覆盖现有.mk文件。 影响 攻击者可能破坏站点配置,但无法突破预定义字段,仅可用于DoS或破坏受影响的站点。 感谢 Lisa Gnedt (SBA Research) 报告了此问题。 受影响版本 2.4.0 2.3.0 2.2.0 2.1.0 (EOL) 缓解措施 如果无法更新,建议将“Manage Own Scheduled Reports”和“Manage All Scheduled Reports”角色设置为非管理员用户的no。 手动审查所有计划的报告并删除包含目录信息的任何计划。 妥协指标 存在.pdf/.mk报告文件对可识别受影响路径。 漏洞管理 CVSS评分: 7.1 High CVE编号: CVE-2025-39664