Christian Simon

**Nome do software vulnerável e versões afetadas: Versões do Grafana Cortex até a 1.9.0 Descrição: Foi identificada uma falha em que o valor do cabeçalho `X-Scope-OrgID` é utilizado para construir caminhos de arquivo para arquivos de regras. Se esse valor for manipulado para realizar traversal de diretório, como `../../sensitive/path/in/deployment`, o Cortex tentará analisar um arquivo de regras nesse local e incluirá parte do conteúdo na mensagem de erro. Outras solicitações da API do Cortex também podem receber um cabeçalho `OrgID` malicioso, potencialmente induzindo o ingester a gravar métricas em um local diferente, embora o efeito seja mais um incômodo do que a divulgação de informações. Recomendações: Para versões até a 1.9.0, considere restringir o uso do cabeçalho `X-Scope-OrgID` para evitar ataques de traversal de diretório até que um patch esteja disponível. Além disso, restrinja o acesso a caminhos confidenciais e monitore as solicitações de API em busca de cabeçalhos `OrgID` maliciosos para minimizar o risco de exploração.