Es una popular herramienta de código abierto, esta permite consultar, visualizar, alertar y comprender sus métricas mediante un panorama gráfico de la situación de una empresa u organización.
Grafana ha publicado tres vulnerabilidades de gravedad media y lanzado parches que incluyen las correcciones de seguridad.
CVE-2022-21703 (CSRF)
Una vulnerabilidad CSRF (Cross-site request forgery), derivada principalmente de una confianza excesiva en el SameSite atributo de la cookie, una validación débil del tipo de contenido y suposiciones incorrectas sobre CORS (Cross-Origin Resource Sharing), permite a los atacantes anónimos elevar sus privilegios montando ataques de origen cruzado contra usuarios de Grafana autenticados con privilegios elevados (por ejemplo: editores o administradores). Puntuación CVSS: 6.8/10.
CVE-2022-21702 (XSS)
Una vulnerabilidad XSS (Cross‑Site Scripting) en la forma en que Grafana maneja las fuentes de datos, permite a los atacantes obtener acceso inapropiado a otras fuentes de datos conectadas a la misma organización de Grafana, utilizando una fuente de datos comprometida y existente conectada a Grafana. Puntuación CVSS: 6.8/10.
CVE-2022-21713 (Teams API IDOR)
Una vulnerabilidad IDOR (Insecure Direct Object Reference) en las API de Grafana Teams. Puntuación CVSS: 4.3/10.
Esta vulnerabilidad solo afecta a los siguientes puntos finales de la API:
- /teams/:teamId – Un atacante autenticado puede ver datos no deseados consultando el ID de equipo específico.
- /teams/:search – Un atacante autenticado puede buscar equipos y ver el número total de equipos disponibles, incluidos aquellos equipos a los que el usuario no tiene acceso.
- /teams/:teamId/members – Cuando la marca editors_can_admin está habilitada, un atacante autenticado puede ver datos no deseados consultando el ID de equipo específico.
Versiones vulnerables:
- Grafana 8.3.4 e inferior para sus versiones 8.x.x
- Grafana 7.5.14 e inferior.
Recomendaciones:
- Actualizar a Grafana 8.3.5 o superior para sus versiones 8.x.x.
- Actualizar a Grafana 7.5.15, esta versión de parche solo incluye correcciones de seguridad.
Para mayor información: