נקודות תורפה בגרפאנה המאפשרות גישה לקבצים במערכת

זוהתה פגיעות (CVE-2021-43798) בפלטפורמת הדמיית הנתונים הפתוחה Grafana, המאפשרת לך לברוח מעבר לספריית הבסיס ולקבל גישה לקבצים שרירותיים במערכת הקבצים המקומית של השרת, בכל הנוגע לזכויות הגישה של המשתמש שתחתיו פועל Grafana מאפשר. הבעיה נגרמת כתוצאה מפעולה לא נכונה של המטפל בנתיב "/public/plugins/ /", שאפשרו את השימוש בתווי ".." כדי לגשת לספריות הבסיסיות.

ניתן לנצל את הפגיעות על ידי גישה לכתובת ה-URL של תוספים טיפוסיים מותקנים מראש, כגון "/public/plugins/graph/", "/public/plugins/mysql/" ו-"/public/plugins/prometheus/" (כ-40 תוספים מותקנים מראש בסך הכל). לדוגמה, כדי לגשת לקובץ /etc/passwd, תוכל לשלוח את הבקשה "/public/plugins/prometheus/../../../../../../../../etc /passwd". כדי לזהות עקבות של ניצול, מומלץ לבדוק את נוכחותה של מסכת "..%2f" ביומני שרת http.

הבעיה הופיעה החל מגרסה 8.0.0-beta1 ותוקנה במהדורות של Grafana 8.3.1, 8.2.7, 8.1.8 ו-8.0.7, אך אז זוהו שתי נקודות תורפה דומות נוספות (CVE-2021-43813, CVE-2021- 43815) שהופיע החל מ-Grafana 5.0.0 ו-Grafana 8.0.0-beta3, ואיפשר למשתמש גראפאנה מאומת לגשת לקבצים שרירותיים במערכת עם הסיומות ".md" ו- ".csv" (עם קובץ שמות רק בקטנה או רק באותיות רישיות), באמצעות מניפולציה של התווים ".." בנתיבים "/api/plugins/.*/markdown/.*" ו-"/api/ds/query". כדי לבטל את הפגיעויות הללו, נוצרו עדכוני Grafana 8.3.2 ו-7.5.12.

מקור: OpenNet.ru