Vulnerabilidad en la función Unified Alerting en Grafana (CVE-2022-31097)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
15/07/2022
Última modificación:
23/11/2022
Descripción
Grafana es una plataforma de código abierto para la monitorización y la observación. Las versiones de la rama 8.x y 9.x anteriores a 9.0.3, 8.5.6, 8.4.10 y 8.3.10, son vulnerables a un ataque de tipo cross-site scripting almacenado por medio de la función Unified Alerting de Grafana. Un atacante puede explotar esta vulnerabilidad para escalar el privilegio de editor a administrador al engañar a un administrador autenticado para que haga clic en un enlace. Las versiones 9.0.3, 8.5.6, 8.4.10 y 8.3.10 contienen un parche. Como mitigación, es posible deshabilitar las alertas o usar las alertas heredadas
Impacto
Puntuación base 3.x
8.70
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.3.10 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 8.4.0 (incluyendo) | 8.4.10 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 8.5.0 (incluyendo) | 8.5.9 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.0.3 (excluyendo) |
| cpe:2.3:a:netapp:e-series_performance_analyzer:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/grafana/grafana/security/advisories/GHSA-vw7q-p2qg-4m5f
- https://grafana.com/docs/grafana/latest/release-notes/release-notes-8-5-9/
- https://grafana.com/docs/grafana/latest/release-notes/release-notes-9-0-3/
- https://grafana.com/docs/grafana/next/release-notes/release-notes-8-4-10/
- https://security.netapp.com/advisory/ntap-20220901-0010/