Grafana ha publicado actualizaciones de seguridad que subsanan varias vulnerabilidades de XSS (cross-site scripting), CSRF (cross site request forgery) y una vulnerabilidad IDOR (referencia de objeto directo inseguro).
Las vulnerabilidades reportadas se componen de 3 de severidad media, las cuales se detallan a continuación:
- CVE-2022-21703, de criticidad media con una puntuación de 6.8. Dicha vulnerabilidad surge básicamente a través de ataques de falsificación de peticiones en sitios cruzados (CSRF) contra usuarios autenticados con privilegios elevados (por ejemplo, editores o administradores), que permitiría a un atacante escalar privilegios al engañar a dichos usuarios, para que habiliten al atacante como un nuevo usuario con privilegios administrativos.
- CVE-2022-21702 de criticidad media con una puntuación de 6.8. Dicha vulnerabilidad se basa en ataques XSS (cross-site scripting) que podría utilizarse por un atacante para obtener acceso inapropiado a fuentes de datos conectadas a la misma organización de Grafana.
- CVE-2022-21713 de criticidad media con una puntuación de 4.3. Dicha vulnerabilidad de IDOR (referencia de objeto directo inseguro) afecta directamente a las siguientes API de Grafana Teams:
- /teams/:teamId: un atacante autenticado puede acceder a datos no autorizados consultando el ID de equipo específico.
- /teams/:search: un atacante autenticado puede buscar equipos y visualizar el número total de equipos disponibles, incluidos aquellos equipos a los que el usuario no tiene acceso.
- /teams/:teamId/members: cuando la marca editors_can_admin está habilitada, un atacante autenticado puede visualizar datos no autorizados consultando el ID de equipo específico.
Las versiones afectadas son:
- Grafana v2.0.0-beta1 a la v8.3.4.
- Grafana 3.0-beta1 y superiores.
- Grafana 5.0.0-beta1 y superiores.
Se recomienda instalar las actualizaciones correspondientes proveída por el fabricante en los siguientes enlaces:
Referencias:
- Grafana 7.5.15 and 8.3.5 released with moderate severity security fixes | Grafana Labs
- https://github.com/grafana/grafana/security/advisories/GHSA-cmf4-h3xc-jw8w
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21703
- https://jub0bs.com/posts/2022-02-08-cve-2022-21703-writeup/
- https://nvd.nist.gov/vuln/detail/CVE-2022-21703