corrective releases sa package , nga naghatag ug web interface para sa monitoring system . Ang gisugyot nga mga update nagwagtang sa usa ka kritikal (CVE-2020-24368), nagtugot sa usa ka wala masaligan nga tig-atake nga maka-access sa mga file sa server nga adunay mga pribilehiyo sa proseso sa Icinga Web (kasagaran ang tiggamit diin ang http server o fpm nagdagan).
Ang usa ka malampuson nga pag-atake nanginahanglan sa presensya sa usa sa mga module sa ikatulo nga partido nga adunay mga imahe o mga icon. Lakip sa maong mga module mao ang Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module ug Globe Module. Kini nga mga module mismo wala maglangkob sa mga kahuyangan, apan kini mga hinungdan nga nagtugot sa pag-organisar sa usa ka pag-atake sa Icinga Web.
Ang pag-atake gihimo pinaagi sa pagpadala sa HTTP GET o POST nga mga hangyo sa usa ka handler nga nag-alagad sa mga imahe, ang pag-access nga wala magkinahanglan usa ka account. Pananglitan, kung ang Icinga Web 2 magamit ingon "/icingaweb2" ug ang sistema adunay usa ka module sa proseso sa negosyo nga na-install sa direktoryo nga /usr/share/icingaweb2/modules, mahimo ka magpadala usa ka hangyo nga "GET /icingaweb2/static" aron mabasa ang mga sulud. sa /etc/os-release file /img?module_name=businessprocess&file=../../../../../../../etc/os-release.β
Source: opennet.ru