เบเปเบญเบเปเบซเบงเป (CVE-2021-43798) เปเบเปเบเบทเบเบฅเบฐเบเบธเปเบงเปเปเบเปเบเบฅเบฐเบเบฐเบเบญเบกเบเบฒเบเปเบเบดเปเบเปเบซเบฑเบเบเปเปเบกเบนเบเปเบเบตเบ Grafana, เปเบเบดเปเบเบเปเบงเบเปเบซเปเบเปเบฒเบเบชเบฒเบกเบฒเบเบซเบฅเบปเบเบซเบเบตเบญเบญเบเบเบฒเบเปเบเปเบฅเบเบฐเบเปเบฅเบตเบเบทเปเบเบเบฒเบเปเบฅเบฐเปเบเบปเปเบฒเปเบเบดเบเปเบเบฅเปเบเบตเปเบกเบฑเบเปเบเบฅเบฐเบเบปเบเปเบเบฅเปเบเปเบญเบเบเบดเปเบเบเบญเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ, เปเบเบปเปเบฒเบเบตเปเบชเบดเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบ. เบเบญเบเบเบนเปเปเบเปเบเบฒเบเปเบเปเบเบตเป Grafana เบเปเบฒเบฅเบฑเบเปเบฅเปเบเบญเบฐเบเบธเบเบฒเบเปเบซเป. เบเบฑเบเบซเบฒเปเบกเปเบเปเบเบตเบเบกเบฒเบเบฒเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบตเปเบเปเปเบเบทเบเบเปเบญเบเบเบญเบเบเบปเบงเบเบฑเบเบเบฒเบเปเบชเบฑเปเบเบเบฒเบ โ/public/plugins/ /", เปเบเบดเปเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเปเบเป ".." เบเบปเบงเบญเบฑเบเบชเบญเบเปเบเบทเปเบญเปเบเบปเปเบฒเปเบเบดเบเปเบเปเบฅเบเบฐเบเปเบฅเบตเบเบตเปเบเบดเบเบเบฑเบ.
เบเปเบญเบเปเบซเบงเปเบชเบฒเบกเบฒเบเบเบทเบเบเบนเบเบฎเบตเบเปเบเบเบเบฒเบเปเบเบปเปเบฒเบซเบฒ URL เบเบญเบเบเบฅเบฑเบเบญเบดเบเบเบตเปเบเบดเบเบเบฑเปเบเปเบงเปเบฅเปเบงเบเปเปเบฒเบเบปเปเบงเปเบเปเบเบฑเปเบ โ/public/plugins/graph/โ, โ/public/plugins/mysql/โ เปเบฅเบฐ โ/public/plugins/prometheus/โ (เบเบฐเบกเบฒเบ 40 เบญเบฑเบ. เบเบฑเปเบเบญเบดเบเบเบทเบเบเบดเบเบเบฑเปเบเปเบงเปเบฅเปเบงเบเปเปเบฒเปเบเบเปเบฒเบเบงเบเบเบฑเบเปเบปเบ). เบเบปเบงเบขเปเบฒเบ, เปเบเบทเปเบญเปเบเบปเปเบฒเปเบเบดเบเปเบเบฅเป /etc/passwd, เบเปเบฒเบเบชเบฒเบกเบฒเบเบชเบปเปเบเบเปเบฒเบฎเปเบญเบเบเป "/public/plugins/prometheus/../../../../../../../../etc. /passwd". เปเบเบทเปเบญเบเปเบฒเบเบปเบเบฎเปเบญเบเบฎเบญเบเบเบญเบเบเบฒเบเบเบนเบเบฎเบตเบ, เปเบเบฐเบเปเบฒเปเบซเปเบเบงเบเปเบเบดเปเบเบเบฒเบเบเบฐเบเบปเบเบเบปเบงเบเบญเบเบซเบเปเบฒเบเบฒเบ "..%2f" เปเบเบเบฑเบเบเบถเบเบเบญเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ http.
เบเบฑเบเบซเบฒเบเบฑเปเบเบเปเบฒเบงเปเบเปเบเบฐเบเบปเบเบเบถเปเบเบเบฒเบเปเบงเบตเบเบฑเปเบ 8.0.0-beta1 เปเบฅเบฐเบเบทเบเปเบเปเปเบเปเบเบเบฒเบเบเปเบญเบ Grafana 8.3.1, 8.2.7, 8.1.8 เปเบฅเบฐ 8.0.7, เปเบเปเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบชเบญเบเบเปเบญเบเปเบซเบงเปเบเบตเปเบเปเบฒเบเบเบทเบเบฑเบเปเบเปเบเบทเบเบฅเบฐเบเบธ (CVE-2021-43813, CVE-2021- 43815) เปเบเบดเปเบเบเบฐเบเบปเบเปเบฅเบตเปเบกเบเบฒเบ Grafana 5.0.0 เปเบฅเบฐ Grafana 8.0.0-beta3, เปเบฅเบฐเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบนเปเปเบเป Grafana เบเบตเปเบกเบตเบเบงเบฒเบกเบเบทเบเบเปเบญเบเบเบญเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเบฅเปเบเบตเปเบเบปเบเปเบญเบเบกเบฑเบเบขเบนเปเปเบเบฅเบฐเบเบปเบเบเปเบงเบเบชเปเบงเบเบเบฐเบซเบเบฒเบ ".md" เปเบฅเบฐ ".csv" (เบเปเบญเบกเปเบเบฅเป. เบเบทเปเบเบฝเบเปเบเปเบขเบนเปเปเบเบเบปเบงเบเบดเบกเบเปเบญเบเบซเบผเบทเบเบปเบงเบเบดเบกเปเบซเบเปเปเบเบปเปเบฒเบเบฑเปเบ), เปเบเบเบเปเบฒเบเบเบฒเบเบซเบกเบนเบเปเบเปเบเบญเบ ".." เบเบปเบงเบญเบฑเบเบชเบญเบเปเบเปเบชเบฑเปเบเบเบฒเบ "/api/plugins/.*/markdown/.*" เปเบฅเบฐ "/api/ds/query". เปเบเบทเปเบญเบฅเบปเบเบฅเปเบฒเบเบเปเบญเบเปเบซเบงเปเปเบซเบผเบปเปเบฒเบเบตเป, เบเบฒเบเบเบฑเบเบเบธเบ Grafana 8.3.2 เปเบฅเบฐ 7.5.12 เปเบเปเบเบทเบเบชเปเบฒเบเบเบทเปเบ.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru