د بسته بندي اصلاحي خپرونه ، کوم چې د څارنې سیسټم لپاره ویب انٹرفیس چمتو کوي . وړاندیز شوي تازه معلومات یو مهم له منځه وړي (CVE-2020-24368)، یو غیر مستند برید کونکي ته اجازه ورکوي چې د Icinga ویب پروسې د امتیازاتو سره په سرور کې فایلونو ته لاسرسی ومومي (معمولا هغه کارن چې د HTTP سرور یا fpm لاندې وي).
یو بریالی برید د دریمې ډلې ماډلونو شتون ته اړتیا لري چې د عکسونو یا شبیانو سره راځي. د دې ډول ماډلونو څخه د Icinga Business Process Modeling، Icinga Director،
د Icinga راپور ورکول، د نقشې ماډل او د ګلوب ماډل. دا ماډلونه پخپله زیان منونکي ندي، مګر دا هغه فکتورونه دي چې د Icinga ویب باندې برید تنظیموي.
برید د HTTP GET یا POST غوښتنې په لیږلو سره ترسره کیږي یو هینډلر ته چې عکسونه وړاندې کوي ، کوم ته لاسرسی چې حساب ته اړتیا نلري. د مثال په توګه، که Icinga Web 2 د "/icingaweb2" په توګه شتون ولري او سیسټم د سوداګرۍ پروسې ماډل په /usr/share/icingaweb2/modules ډایرکټر کې نصب کړي، تاسو کولی شئ د مینځپانګې لوستلو لپاره "GET /icingaweb2/static" غوښتنه واستوئ. د /etc/os-release فایل /img?module_name=businessprocess&file=../../../../../../../etc/os-release.
سرچینه: opennet.ru