Alerta

Vulnerabilidad en Grafana

09/12/2021
El 7 de diciembre Grafana liberó un parche de seguridad para mitigar una vulnerabilidad categorizada como “0-day” y de criticidad alta que podría permitir el acceso a información confidencial.
grafana

Detalles técnicos

Productos Afectados

Versiones

Grafana

8.0.0-beta1 a 8.3.0

Vulnerabilidad 0 day con explotación activa para Grafana

CVE-2021-43798

Vulnerabilidad alta que permite realizar ataques “Path traversal”, la misma no requiere un usuario autenticado y es de fácil explotación. La vulnerabilidad se produce en la ruta URL /public/plugins/, donde está el ID que representa la instalación de un complemento .

Debido a un error de validación de entrada al procesar un “Path traversal”, quien ataca de forma remota puede enviar una solicitud HTTP especialmente diseñada y leer archivos arbitrarios en el sistema.

En el caso del producto Grafana Cloud se confirmo que no es vulnerable.

Recomendaciones

Aplicar las actualizaciones de seguridad a las versiones 8.3.1, 8.2.7, 8.1.8 y 8.0.7 como lo indica la web de Grafana, para poder mitigar la vulnerabilidad.

Acceder a las instrucciones de Grafana

Referencias

Enlace sitio Grafana Security Advisor

Enlace sitio Blog Grafana

 

Etiquetas

Amenazas y alertas