ืืืืชื ืคืืืขืืช (CVE-2021-43798) ืืคืืืคืืจืืช ืืืืืืช ืื ืชืื ืื ืืคืชืืื Grafana, ืืืืคืฉืจืช ืื ืืืจืื ืืขืืจ ืืกืคืจืืืช ืืืกืืก ืืืงืื ืืืฉื ืืงืืฆืื ืฉืจืืจืืชืืื ืืืขืจืืช ืืงืืฆืื ืืืงืืืืช ืฉื ืืฉืจืช, ืืื ืื ืืืข ืืืืืืืช ืืืืฉื ืฉื ืืืฉืชืืฉ ืฉืชืืชืื ืคืืขื Grafana ืืืคืฉืจ. ืืืขืื ื ืืจืืช ืืชืืฆืื ืืคืขืืื ืื ื ืืื ื ืฉื ืืืืคื ืื ืชืื "/public/plugins/ /", ืฉืืคืฉืจื ืืช ืืฉืืืืฉ ืืชืืื ".." ืืื ืืืฉืช ืืกืคืจืืืช ืืืกืืกืืืช.
ื ืืชื ืื ืฆื ืืช ืืคืืืขืืช ืขื ืืื ืืืฉื ืืืชืืืช ื-URL ืฉื ืชืืกืคืื ืืืคืืกืืื ืืืชืงื ืื ืืจืืฉ, ืืืื "/public/plugins/graph/", "/public/plugins/mysql/" ื-"/public/plugins/prometheus/" (ื-40 ืชืืกืคืื ืืืชืงื ืื ืืจืืฉ ืืกื ืืื). ืืืืืื, ืืื ืืืฉืช ืืงืืืฅ /etc/passwd, ืชืืื ืืฉืืื ืืช ืืืงืฉื "/public/plugins/prometheus/../../../../../../../../etc /passwd". ืืื ืืืืืช ืขืงืืืช ืฉื ื ืืฆืื, ืืืืืฅ ืืืืืง ืืช ื ืืืืืชื ืฉื ืืกืืช "..%2f" ืืืืื ื ืฉืจืช http.
ืืืขืื ืืืคืืขื ืืื ืืืจืกื 8.0.0-beta1 ืืชืืงื ื ืืืืืืจืืช ืฉื Grafana 8.3.1, 8.2.7, 8.1.8 ื-8.0.7, ืื ืื ืืืื ืฉืชื ื ืงืืืืช ืชืืจืคื ืืืืืช ื ืืกืคืืช (CVE-2021-43813, CVE-2021- 43815) ืฉืืืคืืข ืืื ื-Grafana 5.0.0 ื-Grafana 8.0.0-beta3, ืืืืคืฉืจ ืืืฉืชืืฉ ืืจืืคืื ื ืืืืืช ืืืฉืช ืืงืืฆืื ืฉืจืืจืืชืืื ืืืขืจืืช ืขื ืืกืืืืืช ".md" ื- ".csv" (ืขื ืงืืืฅ ืฉืืืช ืจืง ืืงืื ื ืื ืจืง ืืืืชืืืช ืจืืฉืืืช), ืืืืฆืขืืช ืื ืืคืืืฆืื ืฉื ืืชืืืื ".." ืื ืชืืืื "/api/plugins/.*/markdown/.*" ื-"/api/ds/query". ืืื ืืืื ืืช ืืคืืืขืืืืช ืืืื, ื ืืฆืจื ืขืืืื ื Grafana 8.3.2 ื-7.5.12.
ืืงืืจ: OpenNet.ru