PT-2020-12555 · Grafana+4 · Grafana+4

Publicado

2020-04-01

·

Atualizado

2025-01-20

·

CVE-2020-11110

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões 6.7.1 e anteriores do Grafana
Grafana anterior à versão 6.7.2
Descrição
O problema está relacionado a um ataque XSS armazenado devido à proteção insuficiente contra entradas no campo originalUrl. Isso permite que um invasor injete código JavaScript que será executado após clicar em “Abrir painel original” ao acessar o snapshot.
Recomendações
Para as versões 6.7.1 e anteriores do Grafana, atualize para a versão 6.7.2 ou posterior para resolver o problema.
Para o Grafana anterior à versão 6.7.2, atualize para a versão 6.7.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao campo originalUrl para minimizar o risco de exploração.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALSA-2020:4682
ALT-PU-2020-1966
ALT-PU-2020-2204
BIT-GRAFANA-2020-11110
CESA-2020_4682
CVE-2020-11110
ECHO-97A6-C742-2044
GHSA-XR3X-62QW-VC4W
GO-2024-2523
RHSA-2020:4682
RHSA-2020_4682
SUSE-SU-2020:2715-1
SUSE-SU-2020:2876-1
SUSE-SU-2020:2911-1
SUSE-SU-2020:3309-1
SUSE-SU-2021:1962-1

Produtos afetados

Alt Linux
Almalinux
Centos
Grafana
Red Hat