CVE-2025-64996CVE-2025-64996是Checkmk监控系统中mk_inotify插件存在的一个本地权限配置不当漏洞。该漏洞影响Checkmk 2.4.0p16之前的所有2.4.x版本、2.3.0p41之前的所有2.3.x版本,以及所有2.2.0及更早版本。mk_inotify插件在运行时会创建全局可读和可写(world-readable and writable)的文件,这意味着系统上的任何本地用户都可以读取这些文件的内容,甚至可以修改它们。由于mk_inotify插件负责收集和输出监控数据,攻击者可以通过读取这些文件获取敏感的监控信息,或者通过修改文件内容来操纵监控数据,可能导致监控系统给出错误的告警或状态报告,进而影响整个IT基础设施的监控可靠性。攻击者利用该漏洞需要本地访问权限,但不需要特殊权限即可实施攻击。
mk_inotify是Checkmk中的一个监控插件,用于通过Linux内核的inotify机制监控文件系统变化。该插件在运行过程中会创建临时文件或输出文件来存储监控结果。漏洞的核心问题在于这些文件的权限被设置为666或类似的全局可读写权限,而非遵循最小权限原则设置为600或更严格的权限。本地攻击者可以利用这个权限配置漏洞执行以下操作:首先,通过读取mk_inotify插件的输出文件获取系统监控数据,这些数据可能包含敏感的系统状态信息、文件路径、进程信息等;其次,攻击者可以修改这些文件的内容,伪造监控数据或注入恶意数据,可能导致Checkmk监控系统产生错误的告警,或者通过API接口影响上游监控平台的行为。由于该插件以较高权限运行,攻击者还可以利用修改后的数据尝试进行进一步的攻击,例如通过注入特定的监控指标触发其他系统的处理逻辑漏洞。