CVE-2021-36157

**Nome do software vulnerável e versões afetadas:

Versões do Grafana Cortex até a 1.9.0

Descrição:

Foi identificada uma falha em que o valor do cabeçalho X-Scope-OrgID é utilizado para construir caminhos de arquivo para arquivos de regras. Se esse valor for manipulado para realizar traversal de diretório, como ../../sensitive/path/in/deployment, o Cortex tentará analisar um arquivo de regras nesse local e incluirá parte do conteúdo na mensagem de erro. Outras solicitações da API do Cortex também podem receber um cabeçalho OrgID malicioso, potencialmente induzindo o ingester a gravar métricas em um local diferente, embora o efeito seja mais um incômodo do que a divulgação de informações.

Recomendações:

Para versões até a 1.9.0, considere restringir o uso do cabeçalho X-Scope-OrgID para evitar ataques de traversal de diretório até que um patch esteja disponível. Além disso, restrinja o acesso a caminhos confidenciais e monitore as solicitações de API em busca de cabeçalhos OrgID maliciosos para minimizar o risco de exploração.