Страница 1 из 1
Уязвимости в Grafana, позволяющие получить доступ к файлам в системе
Добавлено: 11 дек 2021, 15:30
[Ботя]
В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/‹plugin-id›/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам.
Подробнее...