CVE-2021-32747

Icinga Web 2, versões 2.0.0 a 2.8.2

Existe uma vulnerabilidade no Icinga Web 2 em que variáveis personalizadas ficam expostas a usuários não autorizados. Variáveis personalizadas são chaves e valores definidos pelo usuário em objetos de configuração no Icinga 2, comumente usados para fazer referência a segredos em outras configurações. O Icinga Web 2 exibe essas variáveis personalizadas para usuários conectados com acesso aos referidos hosts ou serviços. Regras de proteção e listas negras podem ser configuradas para proteger os segredos, mas elas não surtem efeito quando as variáveis personalizadas são acessadas por meio de um parâmetro de URL não documentado. Esse parâmetro permite que as variáveis personalizadas sejam exibidas tal como estão no resultado, mesmo ao exportar para JSON ou CSV.

Para as versões 2.0.0 a 2.8.2, atualize para a versão 2.9.0, 2.8.3 ou 2.7.5 para resolver o problema.

Como solução alternativa temporária, configure uma restrição para ocultar hosts e serviços com a variável personalizada em questão.