CVE-2026-3466Checkmk 软件在处理仪表盘 dashlet 标题链接时存在输入验证不足的安全漏洞。该漏洞允许拥有仪表盘创建权限的攻击者在共享仪表盘的 dashlet 标题中注入恶意代码。一旦受害者访问并点击了被篡改的 dashlet 标题链接,存储在服务器端的恶意脚本将在受害者的浏览器上下文中执行。此攻击可导致窃取用户会话令牌、执行未授权操作或重定向至恶意网站。
该漏洞的根本原因在于 Checkmk 应用程序在处理仪表盘 dashlet 组件的“标题链接”属性时,未能实施充分的输入验证和输出编码机制。具体而言,后端系统在接收并存储用户提供的 URL 或文本内容时,未对潜在的 HTML 或 JavaScript 特殊字符(如尖括号、引号等)进行转义处理,使得攻击者能够将恶意载荷持久化存储于服务器端数据库中。
攻击利用过程分为两个阶段:存储与执行。首先,攻击者利用其拥有的仪表盘创建权限(PR:L),在 dashlet 配置界面的标题链接字段中插入精心构造的 XSS Payload(例如包含事件处理器的 HTML 标签)。由于系统存在净化缺失,该 Payload 被成功保存。随后,当具备查看权限的受害者访问该共享仪表盘页面时,服务器端会读取包含恶意代码的数据并渲染至前端页面。虽然攻击需要用户交互(UI:R),即受害者必须点击该标题链接,但一旦触发,浏览器将解析并执行其中的恶意脚本。由于 CVSS 向量包含 S:C(范围改变),恶意脚本可脱离当前上下文,利用受害者的会话凭证执行敏感操作、窃取认证 Token 或进一步横向移动。