يتطلب الهجوم الناجح وجود إحدى وحدات الطرف الثالث التي تأتي مع الصور أو الرموز. ومن بين هذه الوحدات Icinga Business Process Modeling، مدير Icinga،
تقارير Icinga ووحدة الخرائط ووحدة الكرة الأرضية. هذه الوحدات بحد ذاتها لا تحتوي على نقاط ضعف، ولكنها عوامل تسمح بتنظيم هجوم على Icinga Web.
يتم تنفيذ الهجوم عن طريق إرسال طلبات HTTP GET أو POST إلى معالج يخدم الصور، ولا يتطلب الوصول إليها حسابًا. على سبيل المثال، إذا كان Icinga Web 2 متاحًا باسم "/icingaweb2" وكان النظام يحتوي على وحدة عمليات أعمال مثبتة في الدليل /usr/share/icingaweb2/modules، فيمكنك إرسال طلب "GET /icingaweb2/static" لقراءة المحتويات من ملف /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
المصدر: opennet.ru