Vulnerabilidad en Grafana (CVE-2022-39201)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/10/2022
Última modificación:
19/10/2022
Descripción
Grafana es una plataforma de código abierto de observabilidad y visualización de datos. A partir de la versión 5.0.0-beta1 y versiones anteriores a 8.5.14 y 9.1.8, Grafana podía filtrar la cookie de autenticación de usuarios a los plugins. La vulnerabilidad afecta a los endpoints de la fuente de datos y del proxy del plugin bajo determinadas condiciones. El plugin de destino podría recibir la cookie de autenticación de Grafana de un usuario. Las versiones 9.1.8 y 8.5.14 contienen un parche para este problema. No se presentan mitigaciones conocidas
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 5.0.1 (incluyendo) | 8.5.14 (excluyendo) |
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.1.8 (excluyendo) |
cpe:2.3:a:grafana:grafana:5.0.0:-:*:*:*:*:*:* | ||
cpe:2.3:a:grafana:grafana:5.0.0:beta1:*:*:*:*:*:* | ||
cpe:2.3:a:grafana:grafana:5.0.0:beta2:*:*:*:*:*:* | ||
cpe:2.3:a:grafana:grafana:5.0.0:beta3:*:*:*:*:*:* | ||
cpe:2.3:a:grafana:grafana:5.0.0:beta4:*:*:*:*:*:* | ||
cpe:2.3:a:grafana:grafana:5.0.0:beta5:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página