In kwetsberens (CVE-2021-43798) is identifisearre yn it iepen datafisualisaasjeplatfoarm Grafana, wêrtroch jo bûten de basismap kinne ûntkomme en tagong krije ta willekeurige bestannen yn it lokale bestânsysteem fan 'e tsjinner, sa fier as de tagongsrjochten fan de brûker ûnder dêr't Grafana rint tastean. It probleem wurdt feroarsake troch ferkearde wurking fan 'e paadhanneler "/public/plugins/ /", wêrtroch it gebrûk fan ".."-tekens tagong ta ûnderlizzende mappen koe.
De kwetsberens kin brûkt wurde troch tagong te krijen ta de URL fan typyske foarynstallearre plugins, lykas "/public/plugins/graph/", "/public/plugins/mysql/" en "/public/plugins/prometheus/" (sawat 40 plugins binne yn totaal foarôf ynstalleare). Bygelyks, om tagong te krijen ta it /etc/passwd-bestân, kinne jo it fersyk stjoere "/public/plugins/prometheus/../../../../../../../../etc /passwd". Om spoaren fan eksploitaasje te identifisearjen, wurdt it oanrikkemandearre om te kontrolearjen op de oanwêzigens fan it masker "..%2f" yn 'e http-tsjinner logs.
It probleem ferskynde fanôf ferzje 8.0.0-beta1 en waard reparearre yn 'e releases fan Grafana 8.3.1, 8.2.7, 8.1.8 en 8.0.7, mar doe waarden noch twa ferlykbere kwetsberens identifisearre (CVE-2021-43813, CVE-2021- 43815) dy't ferskynde begjinnend fan Grafana 5.0.0 en Grafana 8.0.0-beta3, en tastien in authentisearre Grafana-brûker tagong te krijen ta willekeurige bestannen op it systeem mei de tafoegings ".md" en ".csv" (mei triem nammen allinnich yn de legere of allinnich yn haadletters), troch manipulaasje fan de ".." karakters yn de paden "/api/plugins/.*/markdown/.*" en "/api/ds/query". Om dizze kwetsberens te eliminearjen, waarden updates fan Grafana 8.3.2 en 7.5.12 makke.
Boarne: opennet.ru