Grafana es un software libre basado en licencia de Apache 2.0, que permite la visualización y el formato de datos métricos. Permite crear cuadros de mando y gráficos a partir de múltiples fuentes, incluidas bases de datos de series de tiempo como Graphite, InfluxDB y OpenTSDB.
Se reveló en Internet una vulnerabilidad de lectura arbitraria de archivos identificada como CVE-2021-43798 y puntuación CVSS de 7.5. Los atacantes no autorizados pueden construir solicitudes maliciosas para explotar esta vulnerabilidad y obtener archivos confidenciales en el servidor.
La ruta de URL vulnerable es:
<grafana_host_url> /public/plugins/<“plugin-id”>
Donde <“plugin-id”> es la ID de cualquier complemento instalado.
Productos afectados
- Grafana versión 8.0.0 hasta 8.3.0
Solución
- Actualizar Grafana a las versiones 8.3.1, 8.2.7, 8.1.8, 8.0.7 o superiores
Recomendaciones
- Configure Grafana de manera que esté abierta solo para direcciones de confianza.
- No permita la conexión de Grafana con redes públicas a menos que sea necesario.
Referencias