corrective release ng package , na nagbibigay ng web interface para sa monitoring system . Ang mga iminungkahing update ay nag-aalis ng isang kritikal (CVE-2020-24368), ay nagbibigay-daan sa isang hindi napatotohanan na umaatake na ma-access ang mga file sa server na may mga pribilehiyo ng proseso ng Icinga Web (karaniwan ay ang user kung saan tumatakbo ang http server o fpm).
Ang isang matagumpay na pag-atake ay nangangailangan ng pagkakaroon ng isa sa mga third-party na module na kasama ng mga larawan o icon. Kabilang sa mga nasabing module ay Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module at Globe Module. Ang mga module na ito mismo ay hindi naglalaman ng mga kahinaan, ngunit ang mga ito ay mga salik na nagpapahintulot sa pag-aayos ng isang pag-atake sa Icinga Web.
Isinasagawa ang pag-atake sa pamamagitan ng pagpapadala ng HTTP GET o POST na mga kahilingan sa isang handler na naghahatid ng mga larawan, ang access na hindi nangangailangan ng account. Halimbawa, kung ang Icinga Web 2 ay available bilang β/icingaweb2β at ang system ay mayroong businessprocess module na naka-install sa /usr/share/icingaweb2/modules directory, maaari kang magpadala ng kahilingang βGET /icingaweb2/staticβ para basahin ang mga nilalaman ng /etc/os-release file /img?module_name=businessprocess&file=../../../../../../../etc/os-release.β
Pinagmulan: opennet.ru