Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Grafana referente a una vulnerabilidad que afecta a su software de visualización de datos. El presente informe incluye la respectiva medida de mitigación.
Vulnerabilidad
CVE-2020-13379
La característica de uso de avatares en Grafana presenta una vulnerabildiad de incorrecto control de acceso a través de SSRF (Server-side request forgery). Un atacante no autenticado podría enviar una peticion HTTP a cualquier URL y obtener el resultado. Esto podría servir para obtener información sobre la red en la que el servicio se encuentra alojado.
Productos Afectados
Grafana desde la versión 3.0.1 hasta la versión 7.0.1.
Mitigación
Actualizar a la versión 6.7.4 o 7.0.2 de Grafana.
Si por alguna razón, no es posible actualizar, se puede mitigar el impacto bloqueando la URL “/avatar/*” a través del firewall web, balanceador de carga, proxy reverso o similares.
Enlaces
https://grafana.com/blog/2020/06/03/grafana-6.7.4-and-7.0.2-released-with-important-security-fix/
https://community.grafana.com/t/grafana-7-0-2-and-6-7-4-security-update/31408
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13379
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00237-01