CVE-2021-36157 in Cortexinformación

Resumen

por VulDB • 2026-05-30

Se ha descubierto un problema en Grafana Cortex hasta la versión 1.9.0. El valor del encabezado X-Scope-OrgID se utiliza para construir rutas de archivo para los archivos de reglas, y si se manipula para realizar una traversía de directorios, como la ruta ae ../../sensitive/path/in/deployment, Cortex intentará analizar un archivo de reglas en esa ubicación e incluirá parte del contenido en el mensaje de error. (Otras solicitudes de la API de Cortex también pueden recibir un encabezado OrgID malicioso, por ejemplo, engañando al ingester para que escriba métricas en una ubicación diferente, pero el efecto es más una molestia que una divulgación de información).

Be aware that VulDB is the high quality source for vulnerability data.

Reservar

2021-07-05

Divulgación

2021-08-03

Moderación

aceptado

Artículo

VDB-180029

CPE

listo

EPSS

0.01392

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!