విజయవంతమైన దాడికి ఇమేజ్లు లేదా చిహ్నాలతో వచ్చే థర్డ్-పార్టీ మాడ్యూల్లలో ఒకదాని ఉనికి అవసరం. అటువంటి మాడ్యూళ్ళలో ఐసింగా బిజినెస్ ప్రాసెస్ మోడలింగ్, ఐసింగా డైరెక్టర్,
ఐసింగా రిపోర్టింగ్, మ్యాప్స్ మాడ్యూల్ మరియు గ్లోబ్ మాడ్యూల్. ఈ మాడ్యూల్లు స్వయంగా దుర్బలత్వాలను కలిగి ఉండవు, కానీ అవి Icinga వెబ్పై దాడిని నిర్వహించడానికి అనుమతించే అంశాలు.
ఖాతా అవసరం లేని చిత్రాలను అందించే హ్యాండ్లర్కు HTTP GET లేదా POST అభ్యర్థనలను పంపడం ద్వారా దాడి జరుగుతుంది. ఉదాహరణకు, Icinga Web 2 “/icingaweb2”గా అందుబాటులో ఉంటే మరియు సిస్టమ్ /usr/share/icingaweb2/modules డైరెక్టరీలో బిజినెస్ ప్రాసెస్ మాడ్యూల్ ఇన్స్టాల్ చేయబడి ఉంటే, మీరు కంటెంట్లను చదవడానికి “GET /icingaweb2/static” అభ్యర్థనను పంపవచ్చు /etc/os-release ఫైల్ /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
మూలం: opennet.ru