Se ha descubierto una vulnerabilidad CRÍTICA identificada como CVE-2024-8986 en Grafana Plugin SDK (Software Development Kit) para el lenguaje de programación de código abierto Go. Esta falla de seguridad puede comprometer la información sensible almacenada en los plugins creados con versiones vulnerables del SDK.
- CVE-2024-8986 (CVSS 9.1): la vulnerabilidad radica en la inclusión de metadatos de compilación en los binarios generados por el SDK, específicamente los URIs de los repositorios utilizados durante el desarrollo de plugins. Si estos URIs contienen credenciales, como las usadas para acceder a dependencias privadas, dichas credenciales quedan expuestas en los binarios.
Un atacante que obtenga acceso a los binarios generados con una versión vulnerable del SDK podría extraer las credenciales embebidas, lo que le permitiría acceder de forma no autorizada a repositorios privados. Esto compromete la confidencialidad y puede llevar a la exposición de código y datos sensibles.
Productos y versiones afectadas:
- SDK: todas las versiones anteriores a la 0.250.0.
Solución:
- SDK: versión 0.250.0 o posterior.
Recomendaciones:
- Actualizar lo antes posible el plugin SDK a la versión 0.250.0 o superior.
- Verificar los binarios generados previamente y las credenciales que pudieran haber sido expuestas.
- Cambiar cualquier credencial que pudiera haberse filtrado como parte de los URIs de los repositorios.
Referencias: