CVE-2021-36157 in Cortex情報

要約

〜によって VulDB • 2026年05月30日

Grafana Cortex 1.9.0 以前のバージョンで問題が発見されました。ヘッダー値 X-Scope-OrgID はルールファイルのファイルパスを構築するために使用されますが、ae ../../sensitive/path/in/deployment のようなディレクトリトラバーサルを実行するように改ざんされると、Cortex はその場所にあるルールファイルの解析を試み、エラーメッセージにその内容の一部を含めることがあります。(他の Cortex API リクエストにも悪意のある OrgID ヘッダーを送信することが可能で、例えばインジェスターを騙してメトリクスを別の場所に書き込ませることもできますが、その影響は迷惑行為であり、情報漏洩ではありません。)

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

予約する

2021年07月05日

モデレーション

承諾済み

エントリ

VDB-180029

EPSS

0.01392

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!