Múltiples vulnerabilidades en Grafana

Grafana ha publicado actualizaciones de seguridad que subsanan varias vulnerabilidades de XSS (cross-site scripting), CSRF (cross site request forgery) y una vulnerabilidad IDOR (referencia de objeto directo inseguro).

Las vulnerabilidades reportadas se componen de 3 de severidad media, las cuales se detallan a continuación:

CVE-2022-21703, de criticidad media con una puntuación de 6.8. Dicha vulnerabilidad surge básicamente a través de ataques de falsificación de peticiones en sitios cruzados (CSRF) contra usuarios autenticados con privilegios elevados (por ejemplo, editores o administradores), que permitiría a un atacante escalar privilegios al engañar a dichos usuarios, para que habiliten al atacante como un nuevo usuario con privilegios administrativos.
CVE-2022-21702 de criticidad media con una puntuación de 6.8. Dicha vulnerabilidad se basa en ataques XSS (cross-site scripting) que podría utilizarse por un atacante para obtener acceso inapropiado a fuentes de datos conectadas a la misma organización de Grafana.

CVE-2022-21713 de criticidad media con una puntuación de 4.3. Dicha vulnerabilidad de IDOR (referencia de objeto directo inseguro) afecta directamente a las siguientes API de Grafana Teams:
/teams/:teamId: un atacante autenticado puede acceder a datos no autorizados consultando el ID de equipo específico.
/teams/:search: un atacante autenticado puede buscar equipos y visualizar el número total de equipos disponibles, incluidos aquellos equipos a los que el usuario no tiene acceso.
/teams/:teamId/members: cuando la marca editors_can_admin está habilitada, un atacante autenticado puede visualizar datos no autorizados consultando el ID de equipo específico.

Las versiones afectadas son:

Grafana v2.0.0-beta1 a la v8.3.4.
Grafana 3.0-beta1 y superiores.
Grafana 5.0.0-beta1 y superiores.

Se recomienda instalar las actualizaciones correspondientes proveída por el fabricante en los siguientes enlaces:

Referencias: