корективна издања пакета , који обезбеђује веб интерфејс за систем за праћење . Предложена ажурирања елиминишу критичне (ЦВЕ-2020-24368) омогућава нападачу који није аутентификован да приступи датотекама на серверу са привилегијама Ицинга Веб процеса (обично корисник под којим је покренут хттп сервер или фпм).
Успешан напад захтева присуство једног од модула треће стране који долази са сликама или иконама. Међу таквим модулима су Ицинга Бусинесс Процесс Моделинг, Ицинга Дирецтор,
Ицинга Репортинг, Мапс Модуле и Глобе Модуле. Ови модули сами по себи не садрже рањивости, али су фактори који омогућавају организовање напада на Ицинга Веб.
Напад се спроводи слањем ХТТП ГЕТ или ПОСТ захтева руковаоцу који опслужује слике, за приступ којима није потребан налог. На пример, ако је Ицинга Веб 2 доступан као „/ицингавеб2“ и систем има модул пословног процеса инсталиран у директоријуму /уср/схаре/ицингавеб2/модулес, можете послати захтев „ГЕТ /ицингавеб2/статиц“ да прочитате садржај датотеке /етц/ос-релеасе /имг?модуле_наме=бусинесспроцесс&филе=../../../../../../../етц/ос-релеасе.”
Извор: опеннет.ру
