Se ha reportado una vulnerabilidad de severidad crítica en el plugin SDK de Grafana, que puede resultar en la exposición de información sensible debido a la inclusión de metadatos de construcción en los binarios generados.
Productos afectados
- Grafana Plugin SDK versiones desde 0.106.0 hasta 0.249.0
Impacto
La vulnerabilidad se identifica como CVE-2024-8986: con una puntuación en CVSSv4 de 9.1, de severidad crítica. Esta vulnerabilidad podría permitir que el URI del repositorio, junto con posibles credenciales, se incluya en los binarios compilados, lo que podría facilitar el acceso no autorizado a recursos privados y comprometer la seguridad de las aplicaciones que utilizan este SDK.
Recomendación
Actualizar a la última versión más reciente disponible del producto afectado desde la página web oficial del fabricante.
Referencias:
https://nvd.nist.gov/vuln/detail/CVE-2024-8986
https://grafana.com/security/security-advisories/cve-2024-8986/