PT-2022-16058 · Cortex · Cortex
Austin Robertson
·
Publicado
2022-12-19
·
Atualizado
2022-12-27
·
CVE-2022-23536
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 1.13.0 a 1.13.1 do Cortex
Versão 1.14.0 do Cortex
Descrição
Existe uma vulnerabilidade de inclusão de arquivo local no Cortex, na qual um agente mal-intencionado poderia ler remotamente arquivos locais ao analisar configurações do Alertmanager criadas de forma maliciosa quando enviadas à “API de configuração do Alertmanager”. Apenas usuários do serviço Alertmanager nos quais
-experimental.alertmanager.enable-api ou enable api: true está configurado são afetados.Recomendações
Para as versões 1.13.0 a 1.13.1 do Cortex, atualize para a versão 1.13.2.
Para a versão 1.14.0 do Cortex, atualize para a versão 1.14.1.
Como solução alternativa temporária, os administradores do Cortex podem rejeitar configurações do Alertmanager que contenham a configuração
api key file na seção opsgenie configs antes de enviá-las para a API de configuração do Alertmanager.Além disso, rejeite configurações que contenham
opsgenie api key file na seção global como precaução adicional.Exploit
Correção
Incomplete List of Disallowed Inputs
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cortex