Исправление CVE-2021-36156 проверяет параметр пространства имен для последовательностей обхода пути после декодирования одного URL-адреса. Благодаря двойному кодированию злоумышленник может читать файлы в конечной точке Ruler API /loki/api/v1/rules/{namespace}
Спасибо Прасанту Сундараджану за сообщение об этой уязвимости.
Показать оригинальное описание (EN)
The CVE-2021-36156 fix validates the namespace parameter for path traversal sequences after a single URL decode, by double encoding, an attacker can read files at the Ruler API endpoint /loki/api/v1/rules/{namespace} Thanks to Prasanth Sundararajan for reporting this vulnerability.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1