korektivna izdanja paketa , koji obezbeđuje web interfejs za sistem za nadzor . Predložena ažuriranja eliminiraju kritične (CVE-2020-24368), omogućava neautorizovanom napadaču da pristupi datotekama na serveru sa privilegijama Icinga Web procesa (obično korisnik pod kojim je pokrenut http server ili fpm).
Za uspješan napad potrebno je prisustvo jednog od modula treće strane koji dolazi sa slikama ili ikonama. Među takvim modulima su Icinga Business Process Modeling, Icinga direktor,
Icinga Reporting, Maps Module i Globe Module. Ovi moduli sami po sebi ne sadrže ranjivosti, ali su faktori koji omogućavaju organizovanje napada na Icinga Web.
Napad se izvodi slanjem HTTP GET ili POST zahtjeva rukovaocu koji opslužuje slike, za pristup kojima nije potreban nalog. Na primjer, ako je Icinga Web 2 dostupan kao “/icingaweb2” i sistem ima modul poslovnog procesa instaliran u direktoriju /usr/share/icingaweb2/modules, možete poslati zahtjev “GET /icingaweb2/static” da pročitate sadržaj datoteke /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
izvor: opennet.ru