用户要求用简洁的中文markdown总结网页截图中的漏洞关键信息。 需要包含: 1. 漏洞概述:标题、描述、细节。 2. 影响范围:受影响的版本、组件。 3. 修复方案:修复版本、修复状态。 4. POC/利用代码:如果有,必须提取。 分析图片内容: 标题 (Title): Werk #19525: Fix XSS in Unified Search via unescaped host/service names (修复统一搜索中未转义的主机/服务名称导致的XSS漏洞)。 组件 (Component): User interface (用户界面)。 日期 (Date): Mar 23, 2026 (注意:这个日期看起来是未来的,可能是截图中的占位符或者未来的预测,但我应该如实记录)。 级别 (Level): Trivial Change (微小变更)。 类别 (Class): Security Fix (安全修复)。 兼容性 (Compatibility): Compatible - no manual interaction needed (兼容 - 无需手动交互)。 受影响的版本 (Checkmk versions & editions): 2.6.0b1 (Checkmk Community, Checkmk Pro, Checkmk Ultimate, Checkmk Ultimate MT) - 标记为 "Not yet released" (尚未发布)。 2.5.0b2 (Checkmk Community, Checkmk Pro, Checkmk Ultimate, Checkmk Ultimate MT)。 描述 (Description): 统一搜索功能中的存储型跨站脚本 (XSS) 漏洞允许授权用户创建主机或服务,从而在其他执行搜索的用户的浏览器中执行任意 JavaScript。 状态: This issue has now been fixed. (此问题现已修复)。 细节 (Details): 统一搜索功能在将主机和服务名称渲染到搜索结果之前没有正确进行清理。攻击者可以创建一个包含恶意 JavaScript 的带有恶意名称的主机或服务,当另一个用户查看搜索结果时会执行该脚本。 受影响范围 (Who is Affected): 所有配置的所有 Checkmk 版本均受影响。 受影响的 Checkmk 版本 (Affected Checkmk Versions): 2.5.0。 漏洞管理 (Vulnerability Management): CVSS Score: 6.6 High (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L)。 CVE ID: CVE-2026-33276。 发现方式: Internal review (内部审查)。 提取代码/POC: 页面中没有具体的代码块或POC利用脚本。只有文字描述攻击原理(创建带有恶意名称的主机/服务)。 构建总结 (Markdown格式): 标题: Werk #19525: 修复统一搜索中未转义主机/服务名称导致的XSS漏洞 概述: 这是一个存储型跨站脚本 (XSS) 漏洞。由于统一搜索功能在渲染搜索结果前未正确清理主机和服务名称,攻击者可以创建包含恶意 JavaScript 的主机或服务名称。当其他用户查看搜索结果时,恶意脚本会在其浏览器中执行。 影响范围: 组件: 用户界面 (User interface) 受影响版本: 2.5.0 (所有配置均受影响) CVSS评分: 6.6 (High) CVE编号: CVE-2026-33276 修复方案: 修复状态: 已修复 (This issue has now been fixed) 修复版本: 2.6.0b1 (尚未发布), 2.5.0b2 兼容性: 兼容,无需手动交互。 检查是否有代码: 再次确认,没有代码块。 最终输出格式化: 按照用户要求的简洁中文markdown输出。 漏洞总结:Werk #19525 - 统一搜索 XSS 漏洞 漏洞概述 标题: Fix XSS in Unified Search via unescaped host/service names (修复统一搜索中未转义主机/服务名称导致的XSS漏洞) 类型: 存储型跨站脚本 (Stored Cross-Site Scripting, XSS) 描述: 统一搜索功能在将主机和服务名称渲染到搜索结果之前,未正确进行清理(sanitize)。攻击者可以创建一个带有恶意名称(包含恶意 JavaScript)的主机或服务。当其他授权用户查看搜索结果时,恶意脚本会在其浏览器中执行。 CVSS 评分: 6.6 (High) CVE 编号: CVE-2026-33276 影响范围 受影响组件: 用户界面 (User interface) 受影响版本: 2.5.0 (所有配置均受影响) 受影响版本详情: 2.5.0b2 (Checkmk Community, Checkmk Pro, Checkmk Ultimate, Checkmk Ultimate MT) 2.6.0b1 (尚未发布) 修复方案 修复状态: 已修复 (This issue has now been fixed) 修复版本: 2.5.0b2 及后续版本 (2.6.0b1) 兼容性: 兼容,无需手动交互 (Compatible - no manual interaction needed) 利用代码/POC 页面中未提供具体的 POC 代码或利用脚本。攻击原理为创建包含恶意 JavaScript 的主机或服务名称。