CVE-2024-52506丨Graylog 可通过并发 PDF 报告渲染泄露其他用户的报告

Graylog是一个免费和开源的日志管理平台。其报告功能允许创建和调度报告，这些报告包含仪表板小部件，显示单个日志消息或由多个日志消息的字段聚合的指标。在Graylog 6.1.0和6.1.1版本中，此功能存在信息泄露漏洞，该漏洞由授权用户发起的多重并发报告渲染请求触发。当在同一时间请求多个报告渲染时，用于渲染PDF的无头浏览器实例将被重复使用。根据时间的不同，要么检查浏览器实例的“新鲜度”会触发错误而不是返回报告，要么其中一个并发报告渲染请求会“获胜”，并为所有没有返回错误的报告渲染请求返回此报告。这可能导致一个用户获得另一个用户的报告，从而可能泄露其通常无法访问的索引日志消息或聚合数据。此问题已在Graylog 6.1.2中得到修复。除了禁用报告功能外，没有已知的解决方法。