.werks/3855

   1 Title: Fixed possible command injection by privileged WATO users
   2 Level: 2
   3 Component: wato
   4 Class: security
   5 Compatible: compat
   6 State: unknown
   7 Version: 1.4.0i1
   8 Date: 1473778544
   9
  10 In all previous 1.2.8 versions authenticated and privileged WATO users,
  11 the ones which are able to add or edit hosts, were able to inject shell
  12 commands to Check_MK which are then executed in the context of the monitoring
  13 site user.
  14
  15 The user was able to configure a host address in a specific format to inject
  16 such shell commands to the configuration. Once the configuration was activated
  17 and loaded into the monitoring core, the command was executed in context of
  18 the monitoring site user in the moment a parent scan was started for that host.
  19
  20 Thanks for analyzing and reporting this issue to Christian Fünfhaus!