کشف آسیبپذیری در ابزار مانیتورینگ وب Thruk
Thruk یک رابط وب مانیتورینگ قدرتمند است که از چندین Backend از جمله Naemon، Nagios، Icinga و Shinken از طریق Livestatus API پشتیبانی میکند. یک آسیبپذیری با شناسه CVE-2024-23822 با شدت متوسط (5.4) در این ابزار شناسایی شده است. طبق بررسیهای انجامشده، در Thruk یک آسیبپذیری در فرم آپلود فایل وجود دارد که به مهاجم اجازه میدهد تا فایلها را به دلخواه در هر مسیری که میخواهد و برای آن مجوز دارد، در سرور آپلود کند. این آسیبپذیری به نام Path Traversal یا Directory Traversal شناخته میشود.
بر اساس بردار حمله این آسیبپذیری ( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L) بهرهبرداری از طریق شبکه مجاور امکانپذیر نیست (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی پایین یا بالا ندارد (PR:L)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و با بهرهبرداری از این آسیبپذیری، دو ضلع از سه ضلع امنیت با شدت کم تحت تأثیر قرار میگیرد.
نسخههای قبل از 3.12 تحت تأثیر این نقص امنیتی قرار دارند.
توصیه میشود ابزار Thruk را به نسخه 3.12 یا بالاتر بهروزرسانی کنید.