ఓపెన్ డేటా విజువలైజేషన్ ప్లాట్ఫారమ్ గ్రాఫానాలో దుర్బలత్వం (CVE-2021-43798) గుర్తించబడింది, ఇది మీరు బేస్ డైరెక్టరీని దాటి తప్పించుకోవడానికి మరియు యాక్సెస్ హక్కుల వరకు సర్వర్ యొక్క స్థానిక ఫైల్ సిస్టమ్లోని ఏకపక్ష ఫైల్లకు ప్రాప్యతను పొందేందుకు అనుమతిస్తుంది. గ్రాఫానా అమలులో ఉన్న వినియోగదారుని అనుమతిస్తుంది. పాత్ హ్యాండ్లర్ "/పబ్లిక్/ప్లగిన్స్/ యొక్క తప్పు ఆపరేషన్ కారణంగా సమస్య ఏర్పడింది. //, ఇది అంతర్లీన డైరెక్టరీలను యాక్సెస్ చేయడానికి ".." అక్షరాల వినియోగాన్ని అనుమతించింది.
"/public/plugins/graph/", "/public/plugins/mysql/" మరియు "/public/plugins/prometheus/" (సుమారు 40) వంటి సాధారణ ముందే ఇన్స్టాల్ చేయబడిన ప్లగిన్ల URLని యాక్సెస్ చేయడం ద్వారా దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు. ప్లగిన్లు మొత్తం ముందే ఇన్స్టాల్ చేయబడ్డాయి) . ఉదాహరణకు, /etc/passwd ఫైల్ను యాక్సెస్ చేయడానికి, మీరు అభ్యర్థనను పంపవచ్చు "/public/plugins/prometheus/../../../../../../../../etc /passwd". దోపిడీ జాడలను గుర్తించడానికి, http సర్వర్ లాగ్లలో “..%2f” మాస్క్ ఉనికిని తనిఖీ చేయాలని సిఫార్సు చేయబడింది.
వెర్షన్ 8.0.0-beta1 నుండి సమస్య కనిపించింది మరియు గ్రాఫానా 8.3.1, 8.2.7, 8.1.8 మరియు 8.0.7 విడుదలలలో పరిష్కరించబడింది, అయితే మరో రెండు సారూప్య దుర్బలత్వాలు గుర్తించబడ్డాయి (CVE-2021-43813, CVE-2021- 43815) ఇది గ్రాఫానా 5.0.0 మరియు గ్రాఫానా 8.0.0-బీటా3 నుండి ప్రారంభమవుతుంది మరియు ".md" మరియు ".csv" (ఫైల్తో) పొడిగింపులతో సిస్టమ్లోని ఏకపక్ష ఫైల్లను యాక్సెస్ చేయడానికి ప్రామాణీకరించబడిన గ్రాఫానా వినియోగదారుని అనుమతించింది. "/api/plugins/.*/markdown/.*" మరియు "/api/ds/query" పాత్లలోని ".." అక్షరాలను తారుమారు చేయడం ద్వారా పేర్లు చిన్నవి లేదా పెద్ద అక్షరాలలో మాత్రమే ఉంటాయి. ఈ దుర్బలత్వాలను తొలగించడానికి, Grafana 8.3.2 మరియు 7.5.12 నవీకరణలు సృష్టించబడ్డాయి.
మూలం: opennet.ru