Athari ya kuathiriwa (CVE-2021-43798) imetambuliwa katika jukwaa la wazi la taswira ya data Grafana, ambayo hukuruhusu kutoroka zaidi ya saraka ya msingi na kupata ufikiaji wa faili kiholela katika mfumo wa faili wa ndani wa seva, kwa kadiri ya haki za ufikiaji. ya mtumiaji ambayo Grafana inaendesha inaruhusu. Shida husababishwa na utendakazi usio sahihi wa kidhibiti njia β/public/plugins/ /", ambayo iliruhusu matumizi ya ".." herufi kufikia saraka za msingi.
Athari hii inaweza kutumika kwa kufikia URL ya programu-jalizi za kawaida zilizosakinishwa awali, kama vile β/public/plugins/graph/β, β/public/plugins/mysql/β na β/public/plugins/prometheus/β (takriban 40). programu-jalizi zimesakinishwa awali kwa jumla) . Kwa mfano, kufikia faili /etc/passwd, unaweza kutuma ombi "/public/plugins/prometheus/../../../../../../../../etc /passwd". Ili kutambua athari za unyonyaji, inashauriwa kuangalia uwepo wa mask "..%2f" kwenye kumbukumbu za seva ya http.
Tatizo lilionekana kuanzia toleo la 8.0.0-beta1 na lilirekebishwa katika matoleo ya Grafana 8.3.1, 8.2.7, 8.1.8 na 8.0.7, lakini udhaifu mwingine mwingine kama huo ulitambuliwa (CVE-2021-43813, CVE-2021- 43815) ambayo ilionekana kuanzia Grafana 5.0.0 na Grafana 8.0.0-beta3, na kuruhusu mtumiaji wa Grafana aliyeidhinishwa kufikia faili kiholela kwenye mfumo na viendelezi ".md" na ".csv" (na faili majina katika herufi ndogo pekee au herufi kubwa pekee), kupitia upotoshaji wa herufi β..β katika njia za β/api/plugins/.*/markdown/.*β na β/api/ds/queryβ. Ili kuondoa athari hizi, masasisho ya Grafana 8.3.2 na 7.5.12 yaliundwa.
Chanzo: opennet.ru