Vulnerabilidad CVE-2022-23498 de Grafana. Lista CVE de fallos de seguridad de Grafana.
Grafana es una plataforma de código abierto para monitoreo y observabilidad
1 de marzo del 2023
- CVE-2023-22462: El 01/01/2023, durante una auditoría interna de Grafana, un miembro del equipo de seguridad encontró una vulnerabilidad XSS almacenada que afectaba al complemento principal "Text".
- La vulnerabilidad XSS almacenada requiere varias interacciones del usuario para poder explotarla por completo. La vulnerabilidad fue posible debido al ciclo de procesamiento de React que pasará a través del código HTML sin desinfectar, pero en el ciclo siguiente el HTML se limpia y se guarda en la base de datos de Grafana. Un atacante debe tener el rol de editor para cambiar un panel de texto para incluir JavaScript.
- Otro usuario debe editar el mismo panel de texto y hacer clic en "Markdown" o "HTML" para que se ejecute el código. Esto significa que la escalada vertical de privilegios es posible, donde un usuario con función de editor puede cambiar a una contraseña conocida para un usuario con función de administrador si el usuario con función de administrador ejecuta JavaScript malicioso al ver un tablero. Este problema se ha corregido en las versiones 9.2.10 y 9.3.4.
- CVE-2023-0507: Comenzando con la rama 8.1, Grafana tenía una vulnerabilidad XSS almacenada que afectaba al complemento central GeoMap. La vulnerabilidad XSS almacenada fue posible debido a que las atribuciones de mapas no se desinfectaron adecuadamente y permitieron que se ejecutara JavaScript arbitrario en el contexto del usuario actualmente autorizado de la instancia de Grafana. Un atacante debe tener el rol de Editor para cambiar un panel e incluir una atribución de mapa que contenga JavaScript. Esto significa que es posible una escalada vertical de privilegios, donde un usuario con función de editor puede cambiar a una contraseña conocida para un usuario con función de administrador si el usuario con función de administrador ejecuta JavaScript malicioso al ver un tablero. Los usuarios pueden actualizar a la versión 8.5.21, 9.2.13 y 9.3.8 para recibir una corrección.
- CVE-2023-0594: A partir de la rama 7.0, Grafana tenía una vulnerabilidad XSS almacenada en la visualización de la vista de seguimiento. La vulnerabilidad XSS almacenada fue posible debido a que el valor de los atributos/recursos de un tramo no se desinfectó correctamente y esto se representará cuando se expandan los atributos/recursos del tramo. Un atacante debe tener el rol de Editor para cambiar el valor de una visualización de vista de seguimiento para que contenga JavaScript. Esto significa que es posible una escalada vertical de privilegios, donde un usuario con función de editor puede cambiar a una contraseña conocida para un usuario con función de administrador si el usuario con función de administrador ejecuta JavaScript malicioso al ver un tablero. Los usuarios pueden actualizar a la versión 8.5.21, 9.2.13 y 9.3.8 para recibir una corrección.
4 de febrero del 2023
- CVE-2022-23498: Grafana es una plataforma de código abierto para monitoreo y observabilidad. Cuando el almacenamiento en caché de consultas de fuente de datos está habilitado, Grafana almacena en caché todos los encabezados, incluido `
grafana_session`. Como resultado, cualquier usuario que consulte una fuente de datos donde el almacenamiento en caché esté habilitado puede adquirir la sesión de otro usuario. Para mitigar la vulnerabilidad, puede deshabilitar el almacenamiento en caché de consultas de fuentes de datos para todas las fuentes de datos. Este problema se ha corregido en las versiones 9.2.10 y 9.3.4.
Paginas de referencia
- CVE-2023-0507
https://grafana.com/security/security-advisories/cve-2023-0507/ https://github.com/grafana/grafana/security/advisories/GHSA-2j8f-6whh-frc8
Otras referencias sobre vulnerabilidades CVE
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-03-06. Fecha publicación el 2023-02-06. Autor: Oscar olg Mapa del sitio Fuente: cve report