llançaments correctius del paquet , que proporciona una interfície web per al sistema de monitorització . Les actualitzacions proposades eliminen un crític (CVE-2020-24368), permet que un atacant no autenticat accedeixi als fitxers del servidor amb els privilegis del procés web d'Icinga (normalment l'usuari sota el qual s'executa el servidor http o fpm).
Un atac reeixit requereix la presència d'un dels mòduls de tercers que inclou imatges o icones. Entre aquests mòduls hi ha Icinga Business Process Modeling, Icinga Director,
Informes d'Icinga, mòdul de mapes i mòdul de globus. Aquests mòduls en si no contenen vulnerabilitats, però són factors que permeten organitzar un atac a Icinga Web.
L'atac es porta a terme enviant peticions HTTP GET o POST a un gestor que serveix imatges, l'accés al qual no requereix un compte. Per exemple, si Icinga Web 2 està disponible com a "/icingaweb2" i el sistema té un mòdul de procés de negoci instal·lat al directori /usr/share/icingaweb2/modules, podeu enviar una sol·licitud "GET /icingaweb2/static" per llegir-ne el contingut. del fitxer /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
Font: opennet.ru