Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Grafana (CVE-2022-39201)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/10/2022
Última modificación:
19/10/2022

Descripción

Grafana es una plataforma de código abierto de observabilidad y visualización de datos. A partir de la versión 5.0.0-beta1 y versiones anteriores a 8.5.14 y 9.1.8, Grafana podía filtrar la cookie de autenticación de usuarios a los plugins. La vulnerabilidad afecta a los endpoints de la fuente de datos y del proxy del plugin bajo determinadas condiciones. El plugin de destino podría recibir la cookie de autenticación de Grafana de un usuario. Las versiones 9.1.8 y 8.5.14 contienen un parche para este problema. No se presentan mitigaciones conocidas

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* 5.0.1 (incluyendo) 8.5.14 (excluyendo)
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* 9.0.0 (incluyendo) 9.1.8 (excluyendo)
cpe:2.3:a:grafana:grafana:5.0.0:-:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:5.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:5.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:5.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:5.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:5.0.0:beta5:*:*:*:*:*:*