liberazioni currettive di u pacchettu , chì furnisce una interfaccia web per u sistema di surviglianza . L'aghjurnamenti pruposti eliminanu un criticu (CVE-2020-24368), permette à un attaccu micca autenticatu per accede à i fugliali nantu à u servitore cù i privilegii di u prucessu Web Icinga (di solitu l'utilizatore sottu quale u servitore http o fpm hè in esecuzione).
Un attaccu successu richiede a prisenza di unu di i moduli di terzu chì vene cù l'imaghjini o l'icone. Frà tali moduli sò Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Modulu Maps è Modulu Globe. Questi moduli stessi ùn cuntenenu micca vulnerabili, ma sò fattori chì permettenu urganizà un attaccu à Icinga Web.
L'attaccu hè realizatu inviendu richieste HTTP GET o POST à un gestore chì serve l'imaghjini, l'accessu à quale ùn hè micca bisognu di un contu. Per esempiu, se Icinga Web 2 hè dispunibule cum'è "/icingaweb2" è u sistema hà un modulu di prucessu cummerciale installatu in u cartulare /usr/share/icingaweb2/modules, pudete mandà una dumanda "GET /icingaweb2/static" per leghje u cuntenutu. di u schedariu /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release".
Source: opennet.ru