Vulnerabilidades de escalamiento de privilegios y enumeración en Grafana 

14/11/2022 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades que afectan a Grafana, que permitirían a un atacante realizar escalamiento de privilegios en el sistema, obtener acceso no autorizado, entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “alta” y 2 (dos) de severidad “media”. Las mismas se detallan a continuación: 

  • CVE-2022-39328, de severidad “alta” y con puntuación asignada de 8.1. Esta vulnerabilidad se debe a una falla de autenticación en Grafana. Un atacante no autenticado podría enviar solicitudes especialmente diseñadas para realizar escalamiento de privilegios en el sistema. 
  • CVE-2022-39306, de severidad “media” y con puntuación asignada de 6.4. Esta vulnerabilidad se debe a la validación incorrecta de entrada a nuevos usuarios en Grafana. Esto permitiría a un atacante enviar un enlace de invitación y de esta manera registrarse con cualquier nombre de usuario o dirección de correo electrónico que el usuario elija y así obtener acceso no autorizado. 
  • CVE-2022-39307, de severidad “media” y con puntuación asignada de 5.3. Esta vulnerabilidad se debe a la falla de seguridad en el proceso de recuperación de contraseña al realizar una petición POST a la URL /api/user/password/sent-reset-email. Esto permitiría a un atacante obtener información sensible del sistema y realizar enumeración de usuarios. 

Las versiones afectadas de Grafana son:  

  • Grafana, versiones 9.2.x y posteriores. 
  • Grafana, versiones 9.x y anteriores. 
  • Grafana, versiones anteriores a 8.x. 

Recomendamos instalar las actualizaciones 8.5.15 y 9.2.4 respectivamente provistas por el fabricante, mediante los siguientes enlaces: 

Referencias: 

Compartir: