Austin Robertson

**Nome do software vulnerável e versões afetadas** Versões 1.13.0 a 1.13.1 do Cortex Versão 1.14.0 do Cortex **Descrição** Existe uma vulnerabilidade de inclusão de arquivo local no Cortex, na qual um agente mal-intencionado poderia ler remotamente arquivos locais ao analisar configurações do Alertmanager criadas de forma maliciosa quando enviadas à “API de configuração do Alertmanager”. Apenas usuários do serviço Alertmanager nos quais `-experimental.alertmanager.enable-api` ou `enable api: true` está configurado são afetados. **Recomendações** Para as versões 1.13.0 a 1.13.1 do Cortex, atualize para a versão 1.13.2. Para a versão 1.14.0 do Cortex, atualize para a versão 1.14.1. Como solução alternativa temporária, os administradores do Cortex podem rejeitar configurações do Alertmanager que contenham a configuração `api key file` na seção `opsgenie configs` antes de enviá-las para a API de configuração do Alertmanager. Além disso, rejeite configurações que contenham `opsgenie api key file` na seção `global` como precaução adicional.