Di platforma dîtbarîkirina daneya vekirî Grafana de qelsiyek (CVE-2021-43798) hate nas kirin, ku dihêle hûn ji pelrêça bingehîn birevin û bigihîjin pelên kêfî yên di pergala pelê herêmî ya serverê de, heya ku mafên gihîştinê heye. bikarhênerê ku Grafana tê de dimeşe destûrê dide. Pirsgirêk ji ber xebitandina çewt a rêvekerê rê "/public/plugins/ /", ku hişt ku karanîna tîpên ".." bigihîje pelrêçiyên bingehîn.
Zelalbûn dikare bi gihîştina URL-ya pêvekên pêş-sazkirî yên tîpîk, wekî "/public/plugins/graph/", "/public/plugins/mysql/" û "/public/plugins/prometheus/" (nêzîkî 40 pêvekên bi tevahî pêş-sazkirî ne). Mînakî, ji bo gihîştina pelê /etc/passwd, hûn dikarin daxwaza "/public/plugins/prometheus/../../../../../../../../etc bişînin. /passwd". Ji bo naskirina şopên îstismarkirinê, tê pêşniyar kirin ku hebûna maskeya "..%2f" di têketinên servera http de were kontrol kirin.
Pirsgirêk ji guhertoya 8.0.0-beta1 dest pê kir û di berdanên Grafana 8.3.1, 8.2.7, 8.1.8 û 8.0.7 de hate rast kirin, lê dûv re du qelsiyên din ên mîna hev hatin nas kirin (CVE-2021-43813, CVE-2021- 43815) ya ku ji Grafana 5.0.0 û Grafana 8.0.0-beta3 dest pê dike xuya bû, û destûr da ku bikarhênerek Grafana pejirandî bigihîje pelên kêfî yên li ser pergalê bi pêvekên ".md" û ".csv" (bi pelê re. nav tenê bi tîpên jêrîn an jî bi tîpên mezin), bi manîpulekirina tîpên ".." di riyên "/api/plugins/.*/markdown/.*" û "/api/ds/query". Ji bo rakirina van qelsiyan, nûvekirinên Grafana 8.3.2 û 7.5.12 hatin afirandin.
Source: opennet.ru