CVE-2026-2859

Unauthenticated Host Enumeration via Observable Response Discrepancy on Deploy Agent Endpoint

CVSS 6.3 MEDIUMEPSS 0.2%CWE-204

Vexday Risk Score

13Baixo

Decisão SSVC (CISA)

Track

Sem sinal de exploração → monitorar

CVSS 6.3EPSS 0.2%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

13 mar 2026Publicada no NVD

Recomendação: Monitorar — sem sinal de exploração no momento.

Improper permission enforcement in Checkmk versions 2.4.0 before 2.4.0p23, 2.3.0 before 2.3.0p43, and 2.2.0 (EOL) allows unauthenticated users to enumerate existing hosts by observing different HTTP response codes in deploy_agent endpoint, which could lead to information disclosure.

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Produtos afetados

Checkmk GmbH · Checkmk

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://checkmk.com/werk/18994