Сообщение
[Ботя] » 11 дек 2021, 15:30
В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/‹plugin-id›/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам.
Подробнее...