PT-2020-13123 · Grafana+4 · Grafana+4

Hardik Vyas

·

Publicado

2020-04-29

·

Atualizado

2024-06-28

·

CVE-2020-12458

CVSS v4.0

7.1

Alta

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 7.2.1
Versões do Grafana até a 6.7.3
Descrição
Foi identificada uma falha de divulgação de informações no Grafana. O diretório do banco de dados /var/lib/grafana e o arquivo do banco de dados /var/lib/grafana/grafana.db estão acessíveis para leitura por qualquer usuário. Isso pode resultar na exposição de informações confidenciais, como senhas de fontes de dados em texto simples ou criptografadas.
Recomendações
Para versões até a 6.7.3, considere restringir o acesso ao diretório do banco de dados /var/lib/grafana e ao arquivo do banco de dados /var/lib/grafana/grafana.db para evitar a exposição de informações confidenciais.
Para versões anteriores à 7.2.1, atualize para a versão 7.2.1 ou posterior para resolver o problema.
Como solução temporária, considere alterar as permissões do diretório e do arquivo do banco de dados para impedir a leitura por todos até que um patch seja aplicado.

Exploit

Correção

Cleartext Storage of Sensitive Information

Incorrect Permission

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-312CWE-732

Identificadores relacionados

ALSA-2020:4682
ALT-PU-2020-1966
ALT-PU-2020-2045
ALT-PU-2020-2204
BIT-GRAFANA-2020-12458
CESA-2020_4682
CVE-2020-12458
ECHO-D586-F692-3A53
GHSA-3JQ7-8PH8-63XM
GO-2024-2513
RHSA-2020:4682
RHSA-2020_4682

Produtos afetados

Alt Linux
Almalinux
Centos
Grafana
Red Hat