У адчыненай платформе візуалізацыі дадзеных Grafana выяўленая ўразлівасць (CVE-2021-43798), якая дазваляе выйсці за межы базавага каталога і атрымаць доступ да адвольных файлаў у лакальнай файлавай сістэме сервера, наколькі гэта дазваляюць правы доступу карыстача, пад якім выконваецца Grafana. Праблема выклікана некарэктнай працай апрацоўшчыка шляху «/public/plugins/ /», у якім дапушчалася выкарыстанне знакаў «..» для доступу да ніжэйшых каталогаў.
Уразлівасць можа быць эксплуатаваная праз зварот да URL тыпавых прадусталяваных убудоў, такіх як "/public/plugins/graph/", "/public/plugins/mysql/" і "/public/plugins/prometheus/" (усяго прадусталявана каля 40 убудоў) . Напрыклад, для доступу да файла /etc/passwd можна было адправіць запыт "/public/plugins/prometheus/../../../../../../../../etc/passwd" . Для выяўлення слядоў эксплутацыі рэкамендуецца праверыць наяўнасць маскі "..% 2f" у логах http-сервера.
Праблема выяўлялася пачынальна з версіі 8.0.0-beta1 і ўхіленая ў выпусках Grafana 8.3.1, 8.2.7, 8.1.8 і 8.0.7, але следам былі выяўлены яшчэ дзве падобныя ўразлівасці (CVE-2021-43813, CVE-2021- 43815) якія выяўляліся пачынальна з версій Grafana 5.0.0 і Grafana 8.0.0-beta3, і дазвалялі аўтэнтыфікаванаму карыстачу Grafana атрымаць доступ да адвольных файлаў у сістэме, мелым пашырэнні «.md» і «.csv» (з імёнамі файлаў толькі ў ніжнім ці толькі ў верхнім рэгістры), праз маніпуляцыю з знакамі ".." у шляхах "/api/plugins/.*/markdown/.*" і "/api/ds/query". Для ўхілення дадзеных уразлівасцяў сфарміраваны абнаўленні Grafana 8.3.2 і 7.5.12.
Крыніца: opennet.ru