Natukoy ang isang kahinaan (CVE-2021-43798) sa open data visualization platform na Grafana, na nagbibigay-daan sa iyong makatakas lampas sa base directory at makakuha ng access sa mga arbitrary na file sa lokal na file system ng server, hanggang sa mga karapatan sa pag-access ng user kung saan pinapagana ang Grafana. Ang problema ay sanhi ng hindi tamang operasyon ng tagapangasiwa ng landas na "/public/plugins/ /", na nagpapahintulot sa paggamit ng ".." na mga character upang ma-access ang mga pinagbabatayang direktoryo.
Maaaring samantalahin ang kahinaan sa pamamagitan ng pag-access sa URL ng mga karaniwang pre-installed na plugin, gaya ng β/public/plugins/graph/β, β/public/plugins/mysql/β at β/public/plugins/prometheus/β (mga 40 ang mga plugin ay paunang naka-install sa kabuuan) . Halimbawa, upang ma-access ang /etc/passwd file, maaari mong ipadala ang kahilingang "/public/plugins/prometheus/../../../../../../../../etc /passwd" . Upang matukoy ang mga bakas ng pagsasamantala, inirerekumenda na suriin kung mayroong "..%2f" na maskara sa mga log ng server ng http.
Lumitaw ang problema simula sa bersyon 8.0.0-beta1 at naayos sa mga release ng Grafana 8.3.1, 8.2.7, 8.1.8 at 8.0.7, ngunit pagkatapos ay natukoy ang dalawa pang katulad na mga kahinaan (CVE-2021-43813, CVE-2021- 43815) na lumitaw simula sa Grafana 5.0.0 at Grafana 8.0.0-beta3, at pinayagan ang isang authenticated na gumagamit ng Grafana na mag-access ng mga arbitrary na file sa system na may mga extension na ".md" at ".csv" (na may file mga pangalan lamang sa ibaba o lamang sa uppercase), sa pamamagitan ng pagmamanipula ng ".." na mga character sa mga path na "/api/plugins/.*/markdown/.*" at "/api/ds/query". Upang alisin ang mga kahinaang ito, ginawa ang mga update sa Grafana 8.3.2 at 7.5.12.
Pinagmulan: opennet.ru