La vulnerabilidad CVE-2021-34798, de severidad crítica con un puntuación de 9.5, afecta al recurso /public/plugins/.
La explotación de la vulnerabilidad se debe a una falla de seguridad en la URL vulnerable: /public/plugins/”ID_del_plugin”, donde el “ID_del_plugin” sería un plugin especifico, dando como resultado un ataque de Directory Traversal permitiendo a un atacante el acceso a archivos locales del sistema que posee la aplicación vulnerable.
Esta vulnerabilidad podría ser explotada remotamente sin necesidad que el atacante se encuentre autenticado en el sistema.
Las versiones afectadas son Grafana 8.0.0-beta1 a 8.3.0
Se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Referencias: