lëshimet korrigjuese të paketës , i cili ofron një ndërfaqe në internet për sistemin e monitorimit . Përditësimet e propozuara eliminojnë një kritikë (CVE-2020-24368), lejon një sulmues të paautentikuar të aksesojë skedarët në server me privilegjet e procesit të Icinga Web (zakonisht përdoruesi nën të cilin funksionon serveri http ose fpm).
Një sulm i suksesshëm kërkon praninë e një prej moduleve të palëve të treta që vjen me imazhe ose ikona. Ndër module të tilla janë Icinga Business Process Modeling, Icinga Director,
Raportimi Icinga, Moduli i Hartave dhe Moduli Globe. Vetë këto module nuk përmbajnë dobësi, por janë faktorë që lejojnë organizimin e një sulmi në Icinga Web.
Sulmi kryhet duke dërguar kërkesa HTTP GET ose POST te një mbajtës që shërben imazhe, qasja në të cilën nuk kërkon një llogari. Për shembull, nëse Icinga Web 2 është i disponueshëm si "/icingaweb2" dhe sistemi ka një modul të procesit të biznesit të instaluar në drejtorinë /usr/share/icingaweb2/modules, mund të dërgoni një kërkesë "GET /icingaweb2/static" për të lexuar përmbajtjen. të skedarit /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
Burimi: opennet.ru