CVE-2022-23536 in Alertmanager
Résumé
par VulDB • 24/06/2026
Cortex assure un stockage à long terme et multi-locataire pour Prometheus. Une vulnérabilité d'inclusion de fichier local existe dans les versions 1.13.0, 1.13.1 et 1.14.0 de Cortex, où un acteur malveillant pourrait lire des fichiers locaux à distance en raison de l'analyse de configurations Alertmanager artificiellement conçues pour être malicieuses lors de leur soumission via l'API Set Configuration d'Alertmanager. Seuls les utilisateurs du service Alertmanager dont la configuration `-experimental.alertmanager.enable-api` ou `enable_api: true` est activée sont concernés. Il est conseillé aux utilisateurs de Cortex affectés de mettre à niveau vers les versions corrigées 1.13.2 ou 1.14.1. Toutefois, en tant que solution de contournement, les administrateurs de Cortex peuvent rejeter les configurations Alertmanager contenant le paramètre `api_key_file` dans la section `opsgenie_configs` avant leur envoi à l'API Set Alertmanager Configuration.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.