用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息: 1. 漏洞概述 (Vulnerability Overview): 标题、描述、类型。 2. 影响范围 (Affected Scope): 受影响的组件、版本、配置。 3. 修复方案 (Fix/Remediation): 修复的版本、修复方法。 4. POC/利用代码: 检查是否有代码块。 分析截图内容: 标题: Work #19526: Fix XSS in pending changes popup 组件 (Component): Setup 标题 (Title): Fix XSS in pending changes popup 日期 (Date): Mar 23, 2025 (注意:这个日期看起来是未来的,可能是截图来源的模拟数据或者未来的发布计划,但我应该如实记录) 级别 (Level): Trivial Change 类别 (Class): Security Fix 兼容性 (Compatibility): Compatible - no manual interaction needed Checkmk versions & editions (受影响的版本/修复版本): 2.6.0b1: Checkmk Community, Checkmk Pro, Checkmk Ultimate, Checkmk Ultimate MT 2.5.0b2: Checkmk Community, Checkmk Pro, Checkmk Ultimate, Checkmk Ultimate MT 描述 (Description): A stored cross-site scripting (XSS) vulnerability in the Pending Changes sidebar allowed authenticated users with permission to create changes to execute arbitrary JavaScript in the browsers of other users viewing the sidebar. This issue has now been fixed. 这是一个存储型XSS漏洞。 位置:Pending Changes sidebar (待更改侧边栏)。 攻击者:拥有创建更改权限的认证用户。 后果:在查看侧边栏的其他用户浏览器中执行任意JavaScript。 Details (详情): The Pending Changes sidebar did not properly sanitize change attributes before rendering them, which an attacker with permission to create pending changes could embed malicious JavaScript in certain attributes, which would execute when another user opened the sidebar. 原因:侧边栏在渲染更改属性之前没有正确清理(sanitize)它们。 Who is Affected (谁受影响): All editions of Checkmk in all configurations are affected. (所有版本和配置都受影响,具体看下面的版本列表) Affected Checkmk Versions (受影响的Checkmk版本): 2.5.0 Vulnerability Management (漏洞管理): CVSS Score: 8.5 High CVE ID: CVE-2026-26915 (注意:这个CVE编号看起来也是未来的,可能是模拟数据) 发现方式:Internal review (内部审查)。 整理信息: 漏洞概述: 这是一个存储型跨站脚本 (XSS) 漏洞 (CVE-2026-26915)。位于“Pending Changes”(待更改)侧边栏。拥有创建更改权限的认证用户可以在更改属性中嵌入恶意JavaScript,当其他用户打开侧边栏时,这些脚本会在其浏览器中执行。 影响范围: 组件: Setup 受影响版本: Checkmk 2.5.0 (所有版本和配置)。 CVSS评分: 8.5 (High)。 修复方案: 修复版本: 2.6.0b1 和 2.5.0b2。 修复内容: 修复了侧边栏渲染更改属性前未正确清理(sanitize)的问题。 兼容性: 兼容,无需手动交互。 POC代码: 截图中没有提供具体的POC代码或利用代码。 最终输出格式化 (Markdown): 标题:Work #19526: Fix XSS in pending changes popup 概述部分。 影响范围部分。 修复方案部分。 代码部分(注明无)。 检查日期和CVE:截图显示日期是 "Mar 23, 2025",CVE是 "CVE-2026-26915"。这明显是未来的时间,可能是Checkmk的测试环境或者未来的发布预告。我会如实记录这些数字,不做过多推测,只陈述事实。 开始撰写中文总结。 漏洞总结:Work #19526 - 待更改弹窗中的 XSS 修复 漏洞概述 漏洞类型: 存储型跨站脚本 (Stored XSS) CVE 编号: CVE-2026-26915 CVSS 评分: 8.5 (High) 描述: 在“Pending Changes”(待更改)侧边栏中存在一个存储型 XSS 漏洞。拥有创建更改权限的认证用户可以在更改属性中嵌入恶意 JavaScript。当其他用户打开该侧边栏时,恶意脚本会在其浏览器中执行。 根本原因: 侧边栏在渲染更改属性之前,没有正确清理(sanitize)这些属性。 影响范围 受影响组件: Setup 受影响版本: Checkmk 2.5.0 (所有版本和配置,包括 Community, Pro, Ultimate, Ultimate MT) 受影响用户: 所有 Checkmk 版本的所有配置均受影响。 修复方案 修复版本: 2.6.0b1 2.5.0b2 修复内容: 修复了侧边栏渲染更改属性前的清理问题。 兼容性: 兼容,无需手动交互 (Compatible - no manual interaction needed)。 POC/利用代码 截图中未包含具体的 POC 代码或利用代码。