sgaoilidhean ceartachaidh den phacaid , a bheir seachad eadar-aghaidh lìn airson an t-siostam sgrùdaidh . Bidh na h-ùrachaidhean a thathar a’ moladh a’ cur às do rud èiginneach (CVE-2020-24368), a’ leigeil le neach-ionnsaigh neo-dhearbhte faighinn gu faidhlichean air an fhrithealaiche le sochairean pròiseas Icinga Web (mar as trice an neach-cleachdaidh fon bheil am frithealaiche http no fpm a’ ruith).
Feumaidh ionnsaigh shoirbheachail làthaireachd aon de na modalan treas-phàrtaidh a thig le ìomhaighean no ìomhaighean. Am measg nam modalan sin tha Icinga Business Process Modeling, Stiùiriche Icinga,
Aithris Icinga, Modal Mapaichean agus Modal Globe. Chan eil so-leòntachd anns na modalan sin fhèin, ach tha iad nam feartan a leigeas le ionnsaigh a chuir air dòigh air Icinga Web.
Tha an ionnsaigh air a dhèanamh le bhith a’ cur iarrtasan HTTP GET no POST gu neach-làimhseachaidh a bhios a’ frithealadh ìomhaighean, agus chan fheum ruigsinneachd air cunntas. Mar eisimpleir, ma tha Icinga Web 2 ri fhaighinn mar “/ icingaweb2” agus gu bheil modal pròiseas gnìomhachais air a chuir a-steach san eòlaire / usr/share/icingaweb2/modules, faodaidh tu iarrtas “GET / icingaweb2/static” a chuir a-steach gus an susbaint a leughadh den fhaidhle /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
Source: fosgailtenet.ru