Avaandmete visualiseerimise platvormis Grafana on tuvastatud haavatavus (CVE-2021-43798), mis võimaldab pääseda baaskataloogist kaugemale ja pääseda ligi suvalistele failidele serveri kohalikus failisüsteemis, kuni juurdepääsuõigusteni. kasutaja, kelle all Grafana töötab, lubab. Probleemi põhjustab teekäitleja “/public/plugins/” vale töö /", mis võimaldas kasutada ".." märke, et pääseda juurde aluskataloogidele.
Haavatavust saab ära kasutada, kui pääsete juurde tüüpiliste eelinstallitud pistikprogrammide URL-idele, nagu „/public/plugins/graph/”, „/public/plugins/mysql/” ja „/public/plugins/prometheus/” (umbes 40 Pluginad on kokku eelinstallitud) . Näiteks failile /etc/passwd pääsemiseks võite saata päringu "/public/plugins/prometheus/../../../../../../../../etc /passwd" . Kasutamise jälgede tuvastamiseks on soovitatav kontrollida maski “..%2f” olemasolu http-serveri logides.
Probleem ilmnes alates versioonist 8.0.0-beta1 ja see parandati Grafana versioonide 8.3.1, 8.2.7, 8.1.8 ja 8.0.7 versioonides, kuid seejärel tuvastati veel kaks sarnast turvaauku (CVE-2021-43813, CVE-2021-43815), mis ilmus alates versioonist Grafana 5.0.0 ja Grafana 8.0.0-beta3 ning võimaldas autentitud Grafana kasutajal pääseda juurde suvalistele süsteemis olevatele failidele laienditega ".md" ja ".csv" (koos failiga nimed ainult väiketähtedega või ainult suurtähtedega), manipuleerides tähtedega „..” teedel „/api/plugins/.*/markdown/.*” ja „/api/ds/query”. Nende haavatavuste kõrvaldamiseks loodi Grafana 8.3.2 ja 7.5.12 värskendused.
Allikas: opennet.ru