Ang isang matagumpay na pag-atake ay nangangailangan ng pagkakaroon ng isa sa mga third-party na module na kasama ng mga larawan o icon. Kabilang sa mga nasabing module ay Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module at Globe Module. Ang mga module na ito mismo ay hindi naglalaman ng mga kahinaan, ngunit ang mga ito ay mga salik na nagpapahintulot sa pag-aayos ng isang pag-atake sa Icinga Web.
Isinasagawa ang pag-atake sa pamamagitan ng pagpapadala ng HTTP GET o POST na mga kahilingan sa isang handler na naghahatid ng mga larawan, ang access na hindi nangangailangan ng account. Halimbawa, kung ang Icinga Web 2 ay available bilang β/icingaweb2β at ang system ay mayroong businessprocess module na naka-install sa /usr/share/icingaweb2/modules directory, maaari kang magpadala ng kahilingang βGET /icingaweb2/staticβ para basahin ang mga nilalaman ng /etc/os-release file /img?module_name=businessprocess&file=../../../../../../../etc/os-release.β
Pinagmulan: opennet.ru