انتشار اصلاحی بسته ، که یک رابط وب برای سیستم مانیتورینگ فراهم می کند . به روز رسانی پیشنهادی حذف یک بحرانی است (CVE-2020-24368)، به یک مهاجم تأیید نشده اجازه می دهد تا به فایل های روی سرور با امتیازات فرآیند Icinga Web (معمولاً کاربری که سرور http یا fpm تحت آن اجرا می شود) دسترسی پیدا کند.
یک حمله موفقیت آمیز مستلزم حضور یکی از ماژول های شخص ثالث است که همراه با تصاویر یا نمادها باشد. از جمله این ماژول ها می توان به مدل سازی فرآیند کسب و کار Icinga، Icinga Director،
Icinga Reporting، Maps Module و Globe Module. این ماژول ها خود حاوی آسیب پذیری نیستند، اما عواملی هستند که امکان سازماندهی حمله به Icinga Web را فراهم می کنند.
این حمله با ارسال درخواست های HTTP GET یا POST به کنترل کننده ای انجام می شود که تصاویر را ارائه می دهد و دسترسی به آن نیازی به حساب کاربری ندارد. به عنوان مثال، اگر Icinga Web 2 به عنوان "/icingaweb2" در دسترس است و سیستم دارای یک ماژول فرآیند تجاری در پوشه /usr/share/icingaweb2/modules نصب شده است، می توانید یک درخواست "GET /icingaweb2/static" برای خواندن محتویات ارسال کنید. فایل /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
منبع: opennet.ru