Vulnerabilidades encontradas en Grafana

Es una popular herramienta de código abierto, esta permite consultar, visualizar, alertar y comprender sus métricas mediante un panorama gráfico de la situación de una empresa u organización.

Grafana ha publicado tres vulnerabilidades de gravedad media y lanzado parches que incluyen las correcciones de seguridad.

CVE-2022-21703 (CSRF)

Una vulnerabilidad CSRF (Cross-site request forgery), derivada principalmente de una confianza excesiva en el SameSite atributo de la cookie, una validación débil del tipo de contenido y suposiciones incorrectas sobre CORS (Cross-Origin Resource Sharing), permite a los atacantes anónimos elevar sus privilegios montando ataques de origen cruzado contra usuarios de Grafana autenticados con privilegios elevados (por ejemplo: editores o administradores). Puntuación CVSS: 6.8/10.

CVE-2022-21702 (XSS)

Una vulnerabilidad XSS (Cross‑Site Scripting) en la forma en que Grafana maneja las fuentes de datos, permite a los atacantes obtener acceso inapropiado a otras fuentes de datos conectadas a la misma organización de Grafana, utilizando una fuente de datos comprometida y existente conectada a Grafana. Puntuación CVSS: 6.8/10.

CVE-2022-21713 (Teams API IDOR)

Una vulnerabilidad IDOR (Insecure Direct Object Reference) en las API de Grafana Teams. Puntuación CVSS: 4.3/10.

Esta vulnerabilidad solo afecta a los siguientes puntos finales de la API:

• /teams/:teamId – Un atacante autenticado puede ver datos no deseados consultando el ID de equipo específico.
• /teams/:search – Un atacante autenticado puede buscar equipos y ver el número total de equipos disponibles, incluidos aquellos equipos a los que el usuario no tiene acceso.
• /teams/:teamId/members – Cuando la marca editors_can_admin está habilitada, un atacante autenticado puede ver datos no deseados consultando el ID de equipo específico.

Versiones vulnerables:

• Grafana 8.3.4 e inferior para sus versiones 8.x.x
• Grafana 7.5.14 e inferior.

Recomendaciones:

• Actualizar a Grafana 8.3.5 o superior para sus versiones 8.x.x.
• Actualizar a Grafana 7.5.15, esta versión de parche solo incluye correcciones de seguridad.

Para mayor información:

• https://grafana.com/blog/2022/02/08/grafana-7.5.15-and-8.3.5-released-with-moderate-severity-security-fixes/
• https://jub0bs.com/posts/2022-02-08-cve-2022-21703-writeup/