Një dobësi (CVE-2021-43798) është identifikuar në platformën e vizualizimit të të dhënave të hapura Grafana, e cila ju lejon të ikni përtej drejtorisë bazë dhe të fitoni akses në skedarë arbitrar në sistemin lokal të skedarëve të serverit, për sa i përket të drejtave të aksesit. e lejon përdoruesin nën të cilin funksionon Grafana. Problemi është shkaktuar nga funksionimi i gabuar i trajtuesit të rrugës “/public/plugins/ /", e cila lejoi përdorimin e karaktereve ".." për të hyrë në drejtoritë themelore.
Dobësia mund të shfrytëzohet duke hyrë në URL-në e shtojcave tipike të para-instaluara, të tilla si “/public/plugins/graph/”, “/public/plugins/mysql/” dhe “/public/plugins/prometheus/” (rreth 40 shtojcat janë të para-instaluara në total) . Për shembull, për të hyrë në skedarin /etc/passwd, mund të dërgoni kërkesën "/public/plugins/prometheus/../../../../../../../../etc /passwd". Për të identifikuar gjurmët e shfrytëzimit, rekomandohet të kontrolloni praninë e maskës “..%2f” në regjistrat e serverit http.
Problemi u shfaq duke filluar nga versioni 8.0.0-beta1 dhe u rregullua në versionet e Grafana 8.3.1, 8.2.7, 8.1.8 dhe 8.0.7, por më pas u identifikuan dy dobësi të tjera të ngjashme (CVE-2021-43813, CVE-2021- 43815) i cili u shfaq duke filluar nga Grafana 5.0.0 dhe Grafana 8.0.0-beta3, dhe lejoi një përdorues të vërtetuar të Grafana të aksesonte skedarët arbitrar në sistem me shtesat ".md" dhe ".csv" (me skedar emrat vetëm me të vogla ose vetëm me shkronja të mëdha), përmes manipulimit të karaktereve “..” në shtigjet “/api/plugins/.*/markdown/.*” dhe “/api/ds/query”. Për të eliminuar këto dobësi, u krijuan përditësimet e Grafana 8.3.2 dhe 7.5.12.
Burimi: opennet.ru