Se ha reportado un nuevo aviso de seguridad sobre dos vulnerabilidades que permitirían a un atacante obtener acceso no autorizado al sistema afectado.
Las vulnerabilidades reportadas se detallan a continuación:
- CVE-2022-32275, sin severidad asignada, ni puntuación asignada aún. Esta vulnerabilidad se debe a un error de control de acceso que permite leer archivos a través de la dirección /dashboard/snapshot/%7B%7Bconstructor.constructor’/../../../../../../../../etc/passwd. Un atacante podría aprovechar esta vulnerabilidad para acceder al archivo afectado y redireccionar a una página interna que solo poseen acceso usuarios autenticados.
- CVE-2022-32276, sin severidad asignada, ni puntuación asignada aún. Esta se debe a un error en el control de autenticación. Un atacante no autenticado podría aprovechar esta vulnerabilidad para enviar una consulta falsa utilizando parámetros específicos, logrando obtener acceso al panel del sistema.
La versión afectada de Grafana es:
- Grafana 8.4.3.
Se recomienda acceder a la actualización que será proporcionada por Grafana en el siguiente enlace:
Referencias: