Nguyenhoan

**Nome do software vulnerável e versões afetadas** Plug-in de fonte de dados JSON do Grafana (versões afetadas não especificadas) **Descrição** O plugin de fonte de dados JSON para o Grafana permite recuperar e processar dados JSON de um endpoint remoto. Devido à sanitização inadequada do parâmetro `path` fornecido pelo painel, é possível incluir caracteres de traversal de caminho (`../`) e enviar solicitações para caminhos fora do subcaminho configurado. Isso significa que um editor pode criar um painel que emita consultas com caracteres de traversal de caminho, fazendo com que a fonte de dados consulte subcaminhos arbitrários no domínio configurado. Em casos raros em que o plug-in está configurado para apontar de volta para a própria instância do Grafana, essa vulnerabilidade pode levar à escalada de privilégios, pois um administrador que navegue por um painel configurado de forma maliciosa pode ser forçado a fazer solicitações aos endpoints da API administrativa do Grafana com suas credenciais. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.