Vulnerabilidad server-side request forgery (SSRF) en servidor de Grafana 

Grafana ha publicado un nuevo aviso de seguridad sobre una vulnerabilidad de falsificación de solicitudes del servidor server-side request forgery (SSRF) de Grafana Enterprise, que permitiría a un atacante eludir las restricciones de red de origen mediante redirecciones HTTP. 

La vulnerabilidad identificada como CVE-2022-29170, con severidad media y puntuación asignada de 6.6. La misma se debe a una falla en el componente Request Handler que permitiría omitir las configuraciones de seguridad de Grafana. Un atacante podría aprovechar esta vulnerabilidad para omitir dichas configuraciones de seguridad y provocar una redirección HTTP a un host malicioso. 

Las versiones afectadas son: 

  • Grafana 7.4.0-beta1 
  • Grafana versiones anteriores a 7.5.16 y 8.5.3 

Para acceder a la actualización ingresar al siguiente enlace proporcionado por Grafana: 

  • https://grafana.com/docs/grafana/latest/installation/upgrading/ 

Referencias: 

Compartir: