Ailagbara kan (CVE-2021-43798) ti ṣe idanimọ ni aaye iworan data ṣiṣi Grafana, eyiti o fun ọ laaye lati sa fun ni ikọja itọsọna ipilẹ ati ni iraye si awọn faili lainidii ni eto faili agbegbe ti olupin naa, niwọn bi awọn ẹtọ iwọle si. ti olumulo labẹ eyiti Grafana nṣiṣẹ laaye. Iṣoro naa jẹ nitori iṣẹ ti ko tọ ti oluṣakoso ọna “/gbangba/awọn afikun/ /", eyiti o fun laaye lilo awọn ohun kikọ "..." lati wọle si awọn ilana ti o wa labẹ.
Ailagbara naa le jẹ ilokulo nipasẹ iraye si URL ti awọn afikun ti a ti fi sii tẹlẹ, gẹgẹbi “/gbangba/awọn afikun/graph/”, “/gbangba/plugins/mysql/” ati “/gbangba/plugins/prometheus/” (nipa 40 awọn afikun ti fi sori ẹrọ tẹlẹ ni apapọ). Fun apẹẹrẹ, lati wọle si faili /etc/passwd, o le firanṣẹ ibeere naa "/public/plugins/prometheus/../../.../../.../../../../etc /passwd". Lati ṣe idanimọ awọn itọpa ilokulo, o gba ọ niyanju lati ṣayẹwo fun wiwa iboju-boju “..% 2f” ninu awọn akọọlẹ olupin http.
Iṣoro naa han ti o bẹrẹ lati ẹya 8.0.0-beta1 ati pe o wa titi ninu awọn idasilẹ ti Grafana 8.3.1, 8.2.7, 8.1.8 ati 8.0.7, ṣugbọn lẹhinna awọn ailagbara meji ti o jọra ni a ṣe idanimọ (CVE-2021-43813, CVE-2021-43815) eyiti o bẹrẹ lati Grafana 5.0.0 ati Grafana 8.0.0-beta3, o si gba olumulo Grafana ti o jẹri lati wọle si awọn faili lainidii lori eto pẹlu awọn amugbooro ".md" ati ".csv" (pẹlu faili). awọn orukọ nikan ni isalẹ tabi nikan ni oke nla), nipasẹ ifọwọyi ti awọn ohun kikọ "..." ni awọn ọna "/api/plugins/.*/markdown/.*" ati"/api/ds/query". Lati yọkuro awọn ailagbara wọnyi, awọn imudojuiwọn Grafana 8.3.2 ati 7.5.12 ti ṣẹda.
orisun: opennet.ru