Jasu Vindig

**Nome do software vulnerável e versões afetadas** Grafana (versões afetadas não especificadas) **Descrição** A vulnerabilidade permite que um invasor forneça conteúdo HTML por meio da fonte de dados ou do proxy de plug-in do Grafana, induzindo um usuário a visitar uma página HTML especialmente criada e executando um ataque de Cross-site Scripting (XSS). Isso pode ser feito comprometendo uma fonte de dados existente ou configurando um serviço público e instruindo os usuários a configurá-lo em sua instância do Grafana. O invasor deve estar no controle do servidor HTTP que serve a URL da fonte de dados ou do plugin e fazer com que um usuário autenticado clique em um link especialmente criado. Não há soluções alternativas conhecidas para este problema. **Recomendações** Atualize para uma versão corrigida. Como solução temporária, considere restringir o acesso aos proxies `datasource` e `plugin` até que um patch esteja disponível. Evite usar links especialmente criados que apontem para fontes de dados ou plug-ins controlados pelo invasor até que o problema seja resolvido. Restrinja o acesso a plug-ins comprometidos para minimizar o risco de exploração.