Dodek

**Nome do software vulnerável e versões afetadas** Versões 2.23.0 a 2.26.0 do Prometheus Versão 2.27.0 do Prometheus **Descrição** O Prometheus é um sistema de monitoramento de código aberto e um banco de dados de séries temporais. Na versão 2.23.0, o Prometheus mudou sua interface de usuário padrão para a Nova IU. Para garantir uma transição tranquila, URLs com o prefixo `/new` redirecionam para `/`. Devido a um bug no código, é possível que um invasor crie uma URL capaz de redirecionar para qualquer outra URL no endpoint `/new`. Se um usuário acessar um servidor Prometheus com um endereço especialmente criado, ele poderá ser redirecionado para uma URL arbitrária. Por exemplo, se um usuário acessar `http://127.0.0.1:9090/new/newhttp://www.google.com/`, ele será redirecionado para `http://google.com`. **Recomendações** Para as versões 2.23.0 a 2.26.0 do Prometheus, atualize para a versão 2.26.1 ou posterior. Para a versão 2.27.0 do Prometheus, atualize para a versão 2.27.1 ou posterior. Como solução temporária, considere desativar o acesso a `/new` por meio de um proxy reverso na frente do Prometheus. Observação: usuários que utilizam o sinalizador `--web.external-url=` com um caminho não são afetados.