Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Grafana (CVE-2024-1313)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/03/2024
Última modificación:
13/02/2025

Descripción

Es posible que un usuario de una organización diferente al propietario de una instantánea omita la autorización y elimine una instantánea emitiendo una solicitud DELETE a /api/snapshots/ usando su clave de vista. Esta funcionalidad está destinada a estar disponible solo para personas con permiso para escribir/editar la instantánea en cuestión, pero debido a un error en la lógica de autorización, las solicitudes de eliminación emitidas por un usuario sin privilegios en una organización diferente a la del propietario de la instantánea se tratan. según lo autorizado. Grafana Labs desea agradecer a Ravid Mazon y Jay Chen de Palo Alto Research por descubrir y revelar esta vulnerabilidad. Este problema afecta a Grafana: desde 9.5.0 antes de 9.5.18, desde 10.0.0 antes de 10.0.13, desde 10.1.0 antes de 10.1.9, desde 10.2.0 antes de 10.2.6, desde 10.3.0 antes de 10.3.5.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información