Er is een kwetsbaarheid (CVE-2021-43798) geïdentificeerd in het open datavisualisatieplatform Grafana, waarmee u voorbij de basismap kunt ontsnappen en toegang kunt krijgen tot willekeurige bestanden in het lokale bestandssysteem van de server, voor zover de toegangsrechten van de gebruiker waaronder Grafana draait, staat dit toe. Het probleem wordt veroorzaakt door een onjuiste werking van de padhandler “/public/plugins/ /", waardoor het gebruik van ".."-tekens mogelijk was om toegang te krijgen tot onderliggende mappen.
Het beveiligingslek kan worden misbruikt door toegang te krijgen tot de URL van typische vooraf geïnstalleerde plug-ins, zoals “/public/plugins/graph/”, “/public/plugins/mysql/” en “/public/plugins/prometheus/” (ongeveer 40 plug-ins zijn in totaal vooraf geïnstalleerd). Om bijvoorbeeld toegang te krijgen tot het bestand /etc/passwd, kunt u het verzoek "/public/plugins/prometheus/../../../../../../../../etc verzenden /wachtwd" . Om sporen van misbruik te identificeren, wordt aanbevolen om te controleren op de aanwezigheid van het “..%2f”-masker in de http-serverlogboeken.
Het probleem verscheen vanaf versie 8.0.0-beta1 en werd opgelost in de releases van Grafana 8.3.1, 8.2.7, 8.1.8 en 8.0.7, maar daarna werden nog twee vergelijkbare kwetsbaarheden geïdentificeerd (CVE-2021-43813, CVE-2021-43815) die verscheen vanaf Grafana 5.0.0 en Grafana 8.0.0-beta3, en die een geauthenticeerde Grafana-gebruiker toegang gaf tot willekeurige bestanden op het systeem met de extensies ".md" en ".csv" (met bestand namen alleen in kleine letters of alleen in hoofdletters), door manipulatie van de “..”-tekens in de paden “/api/plugins/.*/markdown/.*” en “/api/ds/query”. Om deze kwetsbaarheden te elimineren zijn Grafana 8.3.2 en 7.5.12 updates gemaakt.
Bron: opennet.ru