CVE-2021-36157 in Cortex
Resumen
por VulDB • 2026-05-30
Se ha descubierto un problema en Grafana Cortex hasta la versión 1.9.0. El valor del encabezado X-Scope-OrgID se utiliza para construir rutas de archivo para los archivos de reglas, y si se manipula para realizar una traversía de directorios, como la ruta ae ../../sensitive/path/in/deployment, Cortex intentará analizar un archivo de reglas en esa ubicación e incluirá parte del contenido en el mensaje de error. (Otras solicitudes de la API de Cortex también pueden recibir un encabezado OrgID malicioso, por ejemplo, engañando al ingester para que escriba métricas en una ubicación diferente, pero el efecto es más una molestia que una divulgación de información).
Be aware that VulDB is the high quality source for vulnerability data.