Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un alias de consulta de la fuente de datos de ElasticSearch en Grafana (CVE-2020-24303)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
28/10/2020
Última modificación:
03/06/2022

Descripción

Grafana versiones anteriores a 7.1.0-beta 1, permite un ataque de tipo XSS por medio de un alias de consulta de la fuente de datos de ElasticSearch

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* 7.0.5 (incluyendo)