Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a Grafana, que permitirían a un atacante realizar escalamiento de privilegios en el sistema, obtener acceso no autorizado, entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “alta” y 2 (dos) de severidad “media”. Las mismas se detallan a continuación:
- CVE-2022-39328, de severidad “alta” y con puntuación asignada de 8.1. Esta vulnerabilidad se debe a una falla de autenticación en Grafana. Un atacante no autenticado podría enviar solicitudes especialmente diseñadas para realizar escalamiento de privilegios en el sistema.
- CVE-2022-39306, de severidad “media” y con puntuación asignada de 6.4. Esta vulnerabilidad se debe a la validación incorrecta de entrada a nuevos usuarios en Grafana. Esto permitiría a un atacante enviar un enlace de invitación y de esta manera registrarse con cualquier nombre de usuario o dirección de correo electrónico que el usuario elija y así obtener acceso no autorizado.
- CVE-2022-39307, de severidad “media” y con puntuación asignada de 5.3. Esta vulnerabilidad se debe a la falla de seguridad en el proceso de recuperación de contraseña al realizar una petición POST a la URL /api/user/password/sent-reset-email. Esto permitiría a un atacante obtener información sensible del sistema y realizar enumeración de usuarios.
Las versiones afectadas de Grafana son:
- Grafana, versiones 9.2.x y posteriores.
- Grafana, versiones 9.x y anteriores.
- Grafana, versiones anteriores a 8.x.
Recomendamos instalar las actualizaciones 8.5.15 y 9.2.4 respectivamente provistas por el fabricante, mediante los siguientes enlaces:
Referencias:
- https://grafana.com/blog/2022/11/08/security-release-new-versions-of-grafana-with-critical-and-moderate-fixes-for-cve-2022-39328-cve-2022-39307-and-cve-2022-39306/
- https://www.redpacketsecurity.com/grafanacve202239328privesc-cve-2022-39328/
- https://nvd.nist.gov/vuln/detail/CVE-2022-39328
- https://nvd.nist.gov/vuln/detail/CVE-2022-39307
- https://nvd.nist.gov/vuln/detail/CVE-2022-39306
- https://grafana.com/products/cloud/?pg=blog&plcmt=body-txt