Atvērto datu vizualizācijas platformā Grafana ir konstatēta ievainojamība (CVE-2021-43798), kas ļauj izkļūt ārpus bāzes direktorija un piekļūt patvaļīgiem failiem servera lokālajā failu sistēmā, ciktāl piekļuves tiesības. lietotāja, ar kuru Grafana darbojas, atļauj. Problēmu izraisa nepareiza ceļa apstrādātāja darbība “/public/plugins/ /", kas ļāva izmantot ".." rakstzīmes, lai piekļūtu pamatā esošajiem direktorijiem.
Ievainojamību var izmantot, piekļūstot tipisku iepriekš instalētu spraudņu URL, piemēram, “/public/plugins/graph/”, “/public/plugins/mysql/” un “/public/plugins/prometheus/” (apmēram 40 spraudņi kopumā ir iepriekš instalēti) . Piemēram, lai piekļūtu failam /etc/passwd, varat nosūtīt pieprasījumu "/public/plugins/prometheus/../../../../../../../../etc /passwd" . Lai identificētu ekspluatācijas pēdas, ieteicams pārbaudīt, vai http servera žurnālos nav maskas “..%2f”.
Problēma parādījās, sākot ar versiju 8.0.0-beta1, un tika novērsta Grafana 8.3.1, 8.2.7, 8.1.8 un 8.0.7 laidienos, taču pēc tam tika identificētas vēl divas līdzīgas ievainojamības (CVE-2021-43813, CVE-2021-43815), kas parādījās, sākot no Grafana 5.0.0 un Grafana 8.0.0-beta3, un ļāva autentificētam Grafana lietotājam piekļūt patvaļīgiem sistēmas failiem ar paplašinājumiem ".md" un ".csv" (ar failu nosaukumus tikai ar mazajiem vai tikai lielajiem burtiem), manipulējot ar rakstzīmēm “..” ceļos “/api/plugins/.*/markdown/.*” un “/api/ds/query”. Lai novērstu šīs ievainojamības, tika izveidoti Grafana 8.3.2 un 7.5.12 atjauninājumi.
Avots: opennet.ru