文章总结： Checkmk监控平台存在一个严重的本地权限提升漏洞（CVE-2025-39666），CVSS评分为9.3。该漏洞允许已拥有修改站点上下文权限的用户植入恶意载荷，当以root权限执行omd命令时，即可获取root访问权限。受影响的组织应立即采取行动：通过检查特定安全标志或升级到最新版本进行验证，并更新所有站点及软件包以修补漏洞；在更新前，切勿以root用户身份使用omd命令与网站交互。 综合评分： 85 文章分类： 漏洞分析,渗透测试,应急响应,网络安全,安全运营

Checkmk 中的关键权限提升：Root 访问权限面临风险

sec随谈 sec随谈

sec随谈

2026年4月13日 08:51 北京

在小说阅读器读本章

去阅读

Checkmk 监控平台被发现存在一个严重级别的安全漏洞，该漏洞可能允许本地用户完全控制主机系统。该漏洞编号为CVE-2025-39666，CVSS 评分为 9.3，涉及本地权限提升，当以 root 权限执行管理命令时，就会发生这种情况。

该漏洞的核心在于 omd（Open Monitoring Distribution，开放监控分发）命令，这是一个用于管理 Checkmk 站点的核心实用程序。根据安全公告，“已拥有修改站点上下文权限的用户可以植入恶意载荷”。

当系统管理员或自动化进程以 root 用户身份执行 omd 命令时，危险就出现了。在这种情况下，“该有效载荷以 root 权限执行，从而允许站点用户成为 root 用户”。这种权限提升尤其危险，因为它可能“由标准系统操作（例如更新后触发器）自动触发”。

使用 Checkmk 的组织应立即验证其安装状态。该漏洞会影响任何用户能够修改站点上下文的站点。值得注意的是，该安全公告指出，“在站点上下文中调用 omd 是安全的，因为站点用户无法从站点上下文中提升到 root 权限”。

管理员可以通过检查特定的安全标志来验证其版本是否已打补丁。可以使用一个简单的脚本来检查默认的系统级 omd 命令：

VERSION=$(omd version -b)if [ -f "/omd/versions/$VERSION/share/omd/security-werk-18891.flag" ]; then  echo "System is PATCHED."else  echo "System is VULNERABLE."fi

Checkmk 团队发出警告：“在安装已打补丁的 Checkmk 版本之前，请勿以 root 用户身份使用 omd 与您的网站进行交互”。

管理员应立即采取的行动：

• 安装更新：安装最新软件包会自动将 patched 设置omd为默认系统命令。
• 更新所有站点：因为omd始终使用站点目录中指定的版本，“您必须更新所有站点并从系统中完全删除易受攻击的软件包才能修补此漏洞”。
• 安全更新步骤：先使用停止网站sudo omd stop，然后使用执行更新sudo omd update <site name>。

如果需要在仍处于易受攻击的版本时从备份恢复站点，更安全的做法是以普通站点用户身份“在站点上下文中创建并恢复站点”，而不是以 root 用户身份。通过遵循这些步骤，管理员可以有效地阻止权限提升，并确保其监控基础架构的安全。

参考链接：

https://checkmk.com/werk/18891

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Checkmk 中的关键权限提升：Root 访问权限面临风险》