6 junio, 2020

9VSA20-00237-01 CSIRT comparte actualizaciones obtenidas de Grafana

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Grafana referente a una vulnerabilidad que afecta a su software de visualización de datos. El presente informe incluye la respectiva medida de mitigación.

Vulnerabilidad

CVE-2020-13379

La característica de uso de avatares en Grafana presenta una vulnerabildiad de incorrecto control de acceso a través de SSRF (Server-side request forgery). Un atacante no autenticado podría enviar una peticion HTTP a cualquier URL y obtener el resultado. Esto podría servir para obtener información sobre la red en la que el servicio se encuentra alojado.

Productos Afectados

Grafana desde la versión 3.0.1 hasta la versión 7.0.1.

Mitigación

Actualizar a la versión 6.7.4 o 7.0.2 de Grafana.

Si por alguna razón, no es posible actualizar, se puede mitigar el impacto bloqueando la URL “/avatar/*” a través del firewall web, balanceador de carga, proxy reverso o similares.

Enlaces

https://grafana.com/blog/2020/06/03/grafana-6.7.4-and-7.0.2-released-with-important-security-fix/

https://community.grafana.com/t/grafana-7-0-2-and-6-7-4-security-update/31408

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13379

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00237-01

9VSA20-00237-01 CSIRT comparte actualizaciones obtenidas de Grafana