пакеттин түзөтүүчү релиздери , мониторинг системасы үчүн веб-интерфейс менен камсыз кылат . Сунушталган жаңыртуулар сынды жок кылат (CVE-2020-24368), аутентификацияланбаган чабуулчуга Icinga Web процессинин артыкчылыктары менен сервердеги файлдарга кирүүгө мүмкүндүк берет (көбүнчө http сервери же fpm иштеп жаткан колдонуучу).
Ийгиликтүү чабуул сүрөттөр же иконалар менен келген үчүнчү тараптын модулдарынын биринин болушун талап кылат. Мындай модулдардын арасында Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module жана Globe Module. Бул модулдардын өзүндө алсыздыктар жок, бирок алар Icinga Webине чабуулду уюштурууга мүмкүндүк берүүчү факторлор болуп саналат.
Кол салуу HTTP GET же POST суроо-талаптарын сүрөттөрдү тейлеген иштетүүчүгө жөнөтүү аркылуу ишке ашырылат, ага кирүү аккаунтту талап кылбайт. Мисалы, Icinga Web 2 “/icingaweb2” катары жеткиликтүү болсо жана системанын /usr/share/icingaweb2/modules каталогуна орнотулган бизнес процессинин модулу болсо, мазмунду окуу үчүн “GET /icingaweb2/static” сурамын жөнөтө аласыз. /etc/os-release файлынын /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
Source: opennet.ru