W platformie wizualizacji otwartych danych Grafana zidentyfikowano lukę (CVE-2021-43798), która pozwala na ucieczkę poza katalog bazowy i uzyskanie dostępu do dowolnych plików w lokalnym systemie plików serwera, aż do uprawnień dostępu użytkownika, pod którym działa Grafana, pozwala. Problem jest spowodowany nieprawidłowym działaniem modułu obsługi ścieżki „/public/plugins/ /”, co pozwoliło na użycie znaków „..” w celu uzyskania dostępu do podstawowych katalogów.
Lukę można wykorzystać, uzyskując dostęp do adresu URL typowych, preinstalowanych wtyczek, takich jak „/public/plugins/graph/”, „/public/plugins/mysql/” i „/public/plugins/prometheus/” (około 40 wtyczki są w sumie preinstalowane). Na przykład, aby uzyskać dostęp do pliku /etc/passwd, możesz wysłać żądanie „/public/plugins/prometheus/../../../../../../../../etc /hasło” . Aby zidentyfikować ślady wykorzystania, zaleca się sprawdzenie obecności maski „..%2f” w logach serwera http.
Problem pojawiał się począwszy od wersji 8.0.0-beta1 i został naprawiony w wydaniach Grafany 8.3.1, 8.2.7, 8.1.8 i 8.0.7, ale następnie zidentyfikowano dwie kolejne podobne luki (CVE-2021-43813, CVE-2021-43815), który pojawiał się począwszy od wersji Grafana 5.0.0 i Grafana 8.0.0-beta3 i umożliwiał uwierzytelnionemu użytkownikowi Grafany dostęp do dowolnych plików w systemie z rozszerzeniami „.md” i „.csv” (z plikiem nazwy tylko małymi lub tylko wielkimi literami), poprzez manipulację znakami „..” w ścieżkach „/api/plugins/.*/markdown/.*” i „/api/ds/query”. Aby wyeliminować te luki, stworzono aktualizacje Grafany 8.3.2 i 7.5.12.
Źródło: opennet.ru