Vulnerabilidad en graylog2-server (CVE-2023-41044)

Graylog es una plataforma de gestión de logs gratuita y de código abierto. Una vulnerabilidad de salto de ruta parcial existe en la característica 'Support Bundle' de Graylog. La vulnerabilidad es causada por una validación de entrada de usuario incorrecta en un recurso de API HTTP. La característica Support Bundle de Graylog permite a un atacante con credenciales válidas de rol de Administrador descargar o eliminar archivos en directorios hermanos del directorio del paquete de soporte. El 'data_dir' predeterminado en los paquetes del sistema operativo (DEB, RPM) está configurado en '/var/lib/graylog-server'. El directorio de datos para la característica Support Bundle es siempre '/support-bundle'. Debido a la vulnerabilidad de salto de ruta parcial, un atacante con credenciales válidas de rol de Administrador puede leer o eliminar archivos en directorios que comienzan con un nombre de directorio '/var/lib/graylog-server/support-bundle'. La vulnerabilidad permitiría la descarga o eliminación de archivos en los siguientes directorios de ejemplo: '/var/lib/graylog-server/support-bundle-test' y '/var/lib/graylog-server/support-bundlesdirectory'. Para las imágenes de Docker de Graylog, el 'data_dir' está configurado en '/usr/share/graylog/data' por defecto. Esta vulnerabilidad está corregida en Graylog versión 5.1.3 y posteriores. Se aconseja a los usuarios que actualicen. Los usuarios que no puedan actualizar deben bloquear todas las solicitudes HTTP a los siguientes puntos finales de la API HTTP utilizando un servidor proxy inverso delante de Graylog. 'GET /api/system/debug/support/bundle/download/{filename}' y 'DELETE /api/system/debug/support/bundle/{filename}'.