9VSA20-00171-01 CSIRT comparte información entregada por Grafana
CSIRT comparte la información entregada por Grafana
RESUMEN
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Grafana referente a vulnerabilidad que afecta a su software de visualización de datos. El presente informe incluye la respectiva medida de mitigación.
VULNERABILIDAD
CWE-79
Impacto
Debido a la insuficiente sanitización de datos entregados por el usuario en el dashboard “snapshots”, un atacante remoto podría engañar a una persona para que esta acceda a un enlace especialmente diseñado y así poder realizar un ataque cross-site scripting. La explotación de esta vulnerabilidad le permitiría al atacante robar información potencialmente sensible, realizar ataques phishing, cambiar la apariencia del sitio web, entre otros.
Productos Afectados
Grafana desde la versión 6.0.0 hasta la versión 6.7.1.
Mitigación
Actualizar a la versión 6.7.2 de Grafana.
Enlace
https://github.com/grafana/grafana/releases/tag/v6.7.2
https://github.com/grafana/grafana/pull/23254/commits/7a5f6f6e9ba2ea20e8b931ec9c3a4d83db34cebc
INFORME
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00171-01