PT-2021-6530 · Icinga+1 · Icinga Web 2+1
Nilmerg
·
Publicado
2021-07-12
·
Atualizado
2021-07-15
·
CVE-2021-32746
CVSS v2.0
6.3
Média
| Vetor | AV:N/AC:M/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Icinga Web 2, versões 2.3.0 a 2.8.2
Descrição
A vulnerabilidade no módulo
doc do Icinga Web 2 permite que um invasor obtenha acesso a arquivos arbitrários legíveis pelo usuário do servidor web ao acessar uma determinada rota. O módulo doc deve ser habilitado manualmente por um administrador, e os usuários precisam de permissão de acesso explícita para utilizá-lo. Essa vulnerabilidade pode ser explorada remotamente, permitindo que um invasor acesse dados confidenciais.Recomendações
Para as versões 2.3.0 a 2.8.2, atualize para a versão 2.9.0, 2.8.3 ou 2.7.5 para resolver a vulnerabilidade.
Como solução temporária, considere desativar o módulo
doc ou revogar a permissão de uso para todos os usuários.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Icinga Web 2