Ua ʻike ʻia kahi vulnerability (CVE-2021-43798) i loko o ka papa kuhikuhi ʻikepili wehe ʻia ʻo Grafana, kahi e hiki ai iā ʻoe ke pakele ma waho o ka papa kuhikuhi kumu a loaʻa i ke komo ʻana i nā faila ʻokoʻa i loko o ka ʻōnaehana faila kūloko o ka kikowaena, a hiki i nā kuleana komo. o ka mea hoʻohana ma lalo o Grafana e holo ai. ʻO ka pilikia ma muli o ka hana hewa ʻole o ka mea hoʻokele ala "/public/plugins/ /", ka mea i ʻae i ka hoʻohana ʻana i nā huaʻōlelo ".." e komo i nā papa kuhikuhi lalo.
Hiki ke hoʻohana ʻia ka nāwaliwali ma ke komo ʻana i ka URL o nā plugins maʻamau i hoʻokomo mua ʻia, e like me "/public/plugins/graph/", "/public/plugins/mysql/" a me "/public/plugins/prometheus/" (ma kahi o 40 ua hoʻokomo mua ʻia nā plugins i ka huina). No ka laʻana, no ke komo ʻana i ka faila /etc/passwd, hiki iā ʻoe ke hoʻouna i ke noi "/public/plugins/prometheus/../../../../../../../../etc /passwd" . No ka ʻike ʻana i nā ʻāpana o ka hoʻohana ʻana, pono ʻia e nānā i ka loaʻa ʻana o ka mask "..%2f" ma nā log server http.
Ua ʻike ʻia ka pilikia mai ka mana 8.0.0-beta1 a ua hoʻopaʻa ʻia i nā hoʻokuʻu ʻana o Grafana 8.3.1, 8.2.7, 8.1.8 a me 8.0.7, akā ua ʻike ʻia ʻelua mau mea like ʻole (CVE-2021-43813, CVE-2021- 43815) i ʻike ʻia e hoʻomaka ana mai Grafana 5.0.0 a me Grafana 8.0.0-beta3, a ua ʻae i kahi mea hoʻohana Grafana i hōʻoia ʻia e komo i nā faila arbitrary ma ka ʻōnaehana me nā mea hoʻonui ".md" a me ".csv" (me ka faila. nā inoa ma lalo a i ʻole ma luna wale nō), ma o ka hoʻohana ʻana i nā huaʻōlelo ".." ma nā ala "/api/plugins/.*/markdown/.*" a me "/api/ds/query". No ka hoʻopau ʻana i kēia mau nāwaliwali, ua hoʻokumu ʻia nā mea hou ʻo Grafana 8.3.2 a me 7.5.12.
Source: opennet.ru