Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a Grafana, que permitirían a un atacante realizar omisión de autenticación, convencer a la víctima de descargar un plugin especialmente diseñado y poner en peligro el sistema afectado.
Las vulnerabilidades reportadas se componen de 1 (uno) de severidad “Alta” y 3 (tres) de severidad “Medias”. Las principales se detallan a continuación:
- CVE-2022-31123, de severidad alta, con puntuación asignada de 7.8. Esta vulnerabilidad se debe a la falla de seguridad en la autenticación del plugin de verificación de firmas de Grafana. Esto permitiría a un atacante persuadir a un administrador del sistema para que descargue y ejecute un plugin malicioso, incluso aunque no se encuentre firmado y así poner en peligro el sistema afectado.
- CVE-2022-39201, de severidad media, con puntuación asignada de 6.8. Esta vulnerabilidad se debe a la filtración de cookies de autenticación en el plugin de los usuarios en Grafana. Esto permitiría a un atacante realizar filtración de cookies de autenticación, suplantar al usuario con su cookie y así poner en peligro el sistema afectado.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Algunas de las versiones afectadas son:
- Grafana, versión 9.x anteriores a 9.2.
- Grafana, versión 8.x anteriores a 8.5.14 (con parche incluido).
Se puede acceder al listado completo de las versiones afectadas aquí.
Para acceder a las actualizaciones de las versiones correspondientes, recomendamos ingresar al siguiente enlace proporcionado por Grafana:
Referencias:
- https://grafana.com/blog/2022/10/12/grafana-security-releases-new-versions-with-fixes-for-cve-2022-39229-cve-2022-39201-cve-2022-31130-cve-2022-31123/
- https://nvd.nist.gov/vuln/detail/CVE-2022-39201
- https://nvd.nist.gov/vuln/detail/CVE-2022-31123
- https://grafana.com/grafana/download/9.2?pg=blog&plcmt=body-txt
- https://grafana.com/grafana/download/9.1.8?pg=blog&plcmt=body-txt
- https://grafana.com/grafana/download/8.5.14?pg=blog&plcmt=body-txt