Se ha descubierto una vulnerabilidad de severidad alta en productos Grafana. Un actor malicioso podría acceder a información confidencial, específicamente a claves de cifrado expuestas en texto plano, comprometiendo la seguridad de los datos almacenados.
Productos afectados
- Grafana Tempo, todas las versiones anteriores a la 2.10.3.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-28377: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de divulgación de información a través del endpoint /status/config. Un actor malicioso remoto podría obtener la clave de cifrado S3 SSE-C en texto plano, la cual es utilizada para proteger los datos de trazas almacenados en S3, permitiendo el acceso no autorizado a dicha información.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias