CVE-2021-36157 in Cortex
要約
〜によって VulDB • 2026年05月30日
Grafana Cortex 1.9.0 以前のバージョンで問題が発見されました。ヘッダー値 X-Scope-OrgID はルールファイルのファイルパスを構築するために使用されますが、ae ../../sensitive/path/in/deployment のようなディレクトリトラバーサルを実行するように改ざんされると、Cortex はその場所にあるルールファイルの解析を試み、エラーメッセージにその内容の一部を含めることがあります。(他の Cortex API リクエストにも悪意のある OrgID ヘッダーを送信することが可能で、例えばインジェスターを騙してメトリクスを別の場所に書き込ませることもできますが、その影響は迷惑行為であり、情報漏洩ではありません。)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.