Vulnerabilidad en Cortex (CVE-2022-23536)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/12/2022
Última modificación:
07/11/2023
Descripción
Cortex proporciona almacenamiento a largo plazo para múltiples inquilinos para Prometheus. Existe una vulnerabilidad de inclusión de archivos locales en las versiones 1.13.0, 1.13.1 y 1.14.0 de Cortex, donde un actor malintencionado podría leer de forma remota archivos locales como resultado del análisis de configuraciones de Alertmanager diseñadas con fines malintencionados cuando se envían a la API de configuración de Alertmanager. Solo se ven afectados los usuarios del servicio Alertmanager donde está configurado `-experimental.alertmanager.enable-api` o `enable_api: true`. Se recomienda a los usuarios afectados de Cortex que actualicen a las versiones parcheadas 1.13.2 o 1.14.1. Sin embargo, como workaround, los administradores de Cortex pueden rechazar las configuraciones de Alertmanager que contengan la configuración `api_key_file` en la sección `opsgenie_configs` antes de enviarlas a la API Set Alertmanager Configuration.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:cortex:1.13.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:cortex:1.13.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:linuxfoundation:cortex:1.14.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página