Grafana ha publicado un nuevo aviso de seguridad sobre una vulnerabilidad de falsificación de solicitudes del servidor server-side request forgery (SSRF) de Grafana Enterprise, que permitiría a un atacante eludir las restricciones de red de origen mediante redirecciones HTTP.
La vulnerabilidad identificada como CVE-2022-29170, con severidad media y puntuación asignada de 6.6. La misma se debe a una falla en el componente Request Handler que permitiría omitir las configuraciones de seguridad de Grafana. Un atacante podría aprovechar esta vulnerabilidad para omitir dichas configuraciones de seguridad y provocar una redirección HTTP a un host malicioso.
Las versiones afectadas son:
- Grafana 7.4.0-beta1
- Grafana versiones anteriores a 7.5.16 y 8.5.3
Para acceder a la actualización ingresar al siguiente enlace proporcionado por Grafana:
- https://grafana.com/docs/grafana/latest/installation/upgrading/
Referencias: