Vulnerabilidad en Check_MK (CVE-2017-9781)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/06/2017
Última modificación:
20/04/2025
Descripción
Existe una vulnerabilidad de Cross-Site Scripting (XSS) en Check_MK, en versiones 1.4.0x anteriores a la 1.4.0p6, que permite que un atacante remoto no autenticado inyecte HTML o JavaScript arbitrarios mediante el parámetro _username al intentar autenticarse en webapi.py, que se devuelve sin cifrar con el tipo de contenido texto/html.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:check_mk_project:check_mk:1.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:check_mk_project:check_mk:1.4.0:p1:*:*:*:*:*:* | ||
| cpe:2.3:a:check_mk_project:check_mk:1.4.0:p2:*:*:*:*:*:* | ||
| cpe:2.3:a:check_mk_project:check_mk:1.4.0:p3:*:*:*:*:*:* | ||
| cpe:2.3:a:check_mk_project:check_mk:1.4.0:p4:*:*:*:*:*:* | ||
| cpe:2.3:a:check_mk_project:check_mk:1.4.0:p5:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://git.mathias-kettner.de/git/?p=check_mk.git%3Ba%3Dblob%3Bf%3D.werks/4757%3Bhb%3Dc248f0b6ff7b15ced9f07a3df8a80fad656ea5b1
- https://www.tenable.com/security/research/tra-2017-21
- http://git.mathias-kettner.de/git/?p=check_mk.git%3Ba%3Dblob%3Bf%3D.werks/4757%3Bhb%3Dc248f0b6ff7b15ced9f07a3df8a80fad656ea5b1
- https://www.tenable.com/security/research/tra-2017-21