Varnarleysi (CVE-2021-43798) hefur verið greint í opna gagnasjónunarvettvangnum Grafana, sem gerir þér kleift að flýja út fyrir grunnskrána og fá aðgang að handahófskenndum skrám í staðbundnu skráarkerfi þjónsins, að því er varðar aðgangsréttindi notandans sem Grafana keyrir undir leyfir. Vandamálið stafar af rangri notkun slóðastjórnunarmannsins “/public/plugins/ /", sem leyfði notkun á ".." stöfum til að fá aðgang að undirliggjandi möppum.
Hægt er að nýta veikleikann með því að opna vefslóð dæmigerðra foruppsettra viðbóta, eins og „/public/plugins/graph/“, „/public/plugins/mysql/“ og „/public/plugins/prometheus/“ (um 40 viðbætur eru foruppsettar í heildina). Til dæmis, til að fá aðgang að /etc/passwd skránni gætirðu sent beiðnina "/public/plugins/prometheus/../../../../../../../../etc /passwd". Til að bera kennsl á ummerki um misnotkun er mælt með því að athuga hvort „..%2f“ gríman sé til staðar í http-þjónsskránum.
Vandamálið kom upp frá útgáfu 8.0.0-beta1 og var lagað í útgáfum Grafana 8.3.1, 8.2.7, 8.1.8 og 8.0.7, en þá fundust tveir svipaðir veikleikar til viðbótar (CVE-2021-43813, CVE-2021- 43815) sem birtist frá Grafana 5.0.0 og Grafana 8.0.0-beta3 og leyfði auðkenndum Grafana notanda aðgang að handahófskenndum skrám á kerfinu með endingunum ".md" og ".csv" (með skrá nöfn aðeins með lágstöfum eða aðeins hástöfum), með því að nota „..” stafina í slóðunum „/api/plugins/.*/markdown/.*“ og „/api/ds/query“. Til að útrýma þessum veikleikum voru Grafana 8.3.2 og 7.5.12 uppfærslur búnar til.
Heimild: opennet.ru