багцын залруулах хувилбарууд , энэ нь хяналтын системийн вэб интерфэйсийг хангадаг . Санал болгож буй шинэчлэлтүүд нь чухал зүйлийг арилгадаг (CVE-2020-24368) нь танигдаагүй халдагчдад Icinga вэб процессын эрх бүхий сервер дээрх файлуудад хандах боломжийг олгодог (ихэвчлэн http сервер эсвэл fpm ажиллаж байгаа хэрэглэгч).
Амжилттай довтолгоонд зураг эсвэл дүрс бүхий гуравдагч талын модулиудын аль нэг нь байх шаардлагатай. Ийм модулиудын дунд Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module болон Globe Module. Эдгээр модулиуд нь өөрөө эмзэг байдлыг агуулаагүй боловч Icinga Web-д халдлага зохион байгуулах боломжийг олгодог хүчин зүйлүүд юм.
Энэхүү халдлагыг HTTP GET эсвэл POST хүсэлтийг зургаар үйлчилдэг зохицуулагч руу илгээх замаар гүйцэтгэдэг бөгөөд үүнд хандах нь бүртгэл шаарддаггүй. Жишээлбэл, хэрэв Icinga Web 2 нь "/icingaweb2" хэлбэрээр байгаа бөгөөд систем нь /usr/share/icingaweb2/modules санд суулгасан бизнесийн процессын модультай бол та "GET /icingaweb2/static" хүсэлт илгээж, агуулгыг унших боломжтой. /etc/os-release файлын /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
Эх сурвалж: opennet.ru