Ang usa ka kahuyang (CVE-2021-43798) giila sa open data visualization platform nga Grafana, nga nagtugot kanimo sa pag-ikyas lapas sa base nga direktoryo ug pag-access sa mga arbitraryong file sa lokal nga sistema sa file sa server, kutob sa mga katungod sa pag-access sa tiggamit sa ilalum nga Grafana nagdagan nagtugot. Ang problema tungod sa sayop nga operasyon sa dalan handler "/publiko/plugins/ /", nga nagtugot sa paggamit sa ".." nga mga karakter sa pag-access sa nagpahiping mga direktoryo.
Ang pagkahuyang mahimong mapahimuslan pinaagi sa pag-access sa URL sa kasagaran nga pre-installed nga mga plugins, sama sa "/public/plugins/graph/", "/public/plugins/mysql/" ug "/public/plugins/prometheus/" (mga 40 ang mga plugin kay pre-installed sa kinatibuk-an). Pananglitan, aron ma-access ang /etc/passwd file, mahimo nimong ipadala ang hangyo "/public/plugins/prometheus/../../../../../../../../etc /passwd" . Aron mahibal-an ang mga timailhan sa pagpahimulos, girekomenda nga susihon ang presensya sa maskara nga "..%2f" sa mga log sa http server.
Ang problema nagpakita sugod sa bersyon 8.0.0-beta1 ug naayo sa mga pagpagawas sa Grafana 8.3.1, 8.2.7, 8.1.8 ug 8.0.7, apan unya duha pa ka susama nga mga kahuyangan ang giila (CVE-2021-43813, CVE-2021- 43815) nga nagpakita sugod sa Grafana 5.0.0 ug Grafana 8.0.0-beta3, ug gitugotan ang usa ka authenticated Grafana user nga maka-access sa arbitraryong mga file sa sistema nga adunay mga extension nga ".md" ug ".csv" (uban ang file mga ngalan lamang sa ubos o sa uppercase lamang), pinaagi sa pagmaniobra sa β..β nga mga karakter sa mga agianan nga β/api/plugins/.*/markdown/.*β ug β/api/ds/queryβ. Aron mawagtang kini nga mga kahuyangan, ang Grafana 8.3.2 ug 7.5.12 nga mga update gihimo.
Source: opennet.ru