Atvirų duomenų vizualizacijos platformoje „Grafana“ buvo nustatytas pažeidžiamumas (CVE-2021-43798), leidžiantis išeiti už bazinio katalogo ribų ir gauti prieigą prie savavališkų failų vietinėje serverio failų sistemoje, kiek tai susiję su prieigos teisėmis. naudotojo, kuriam veikia Grafana, leidžia. Problemą sukelia neteisingas kelio tvarkyklės „/public/plugins/“ veikimas /“, kuri leido naudoti „..“ simbolius norint pasiekti pagrindinius katalogus.
Pažeidžiamumu galima pasinaudoti pasiekus tipiškų iš anksto įdiegtų įskiepių URL, pvz., „/public/plugins/graph/“, „/public/plugins/mysql/“ ir „/public/plugins/prometheus/“ (apie 40). iš viso iš anksto įdiegti papildiniai). Pavyzdžiui, norėdami pasiekti failą /etc/passwd, galite išsiųsti užklausą „/public/plugins/prometheus/../../../../../../../../etc /passwd". Norint nustatyti išnaudojimo pėdsakus, rekomenduojama patikrinti, ar http serverio žurnaluose nėra „..%2f“ kaukės.
Problema atsirado nuo 8.0.0-beta1 versijos ir buvo ištaisyta Grafana 8.3.1, 8.2.7, 8.1.8 ir 8.0.7 leidimuose, tačiau tada buvo nustatyti dar du panašūs pažeidžiamumai (CVE-2021-43813, CVE-2021-43815), kuris pasirodė nuo Grafana 5.0.0 ir Grafana 8.0.0-beta3 ir leido autentifikuotam Grafana vartotojui pasiekti savavališkus sistemoje esančius failus su plėtiniais ".md" ir ".csv" (su failu pavadinimus tik mažosiomis arba tik didžiosiomis raidėmis), manipuliuojant simboliais „..“ keliuose „/api/plugins/.*/markdown/.*“ ir „/api/ds/query“. Siekiant pašalinti šiuos pažeidžiamumus, buvo sukurti Grafana 8.3.2 ir 7.5.12 naujinimai.
Šaltinis: opennet.ru