Se ha reportado un nuevo aviso de seguridad sobre siete vulnerabilidades que afectan a Grafana, que permitirían a un atacante realizar denegación de servicios (DoS), ataques cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (uno) de severidad “Critica”, 3 (tres) de severidad “Alta”, 1 (uno) de severidad “Media” y 2 (dos) de severidad “Baja”. Las mismas se detallan a continuación:
- CVE-2021-3918 de severidad critica, con una puntuación asignada de 9.8. La vulnerabilidad se debe a la validación insuficiente de los datos proporcionados por el usuario durante la validación de un objeto JSON. Esto permitiría a un atacante remoto autenticado realizar ejecución remota de código (RCE) en el sistema.
- CVE-2021-43138 de severidad alta, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a una validación de entrada incorrecta en el manejo de datos a través del método mapValues. Esto permite a un atacante remoto enviar solicitudes especialmente diseñadas para escalar privilegios en la aplicación.
- CVE-2021-3807 de severidad alta, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario al hacer coincidir códigos de escape ANSI no válidos diseñados en ansi-regex. Esto permite a un atacante remoto enviar solicitudes especialmente diseñadas y realizar un ataque de denegación de servicios (DoS).
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.
Algunos productos afectados son:
- Grafana, versiones 9.0.0 y 9.0.2
Se recomienda acceder a las actualizaciones proporcionadas por Grafana en el siguiente enlace:
Referencias: