PT-2020-15676 · Grafana+5 · Grafana+5

Dprokop

·

Publicado

2020-08-19

·

Atualizado

2024-06-28

·

CVE-2020-24303

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 7.1.0-beta1
Descrição
A vulnerabilidade permite um ataque XSS por meio de um alias de consulta para a fonte de dados do ElasticSearch. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo, nem detalhes sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões anteriores à 7.1.0-beta1, atualize para a versão 7.1.0-beta1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à fonte de dados ElasticSearch para minimizar o risco de exploração. Evite usar aliases de consulta na fonte de dados ElasticSearch até que o problema seja resolvido.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2020-2611
ALT-PU-2022-1177
ALT-PU-2022-1249
BIT-GRAFANA-2020-24303
CESA-2021_1859
CVE-2020-24303
ECHO-F629-5DC1-52F5
GHSA-MVPR-Q6RH-8VRP
GO-2024-2520
OESA-2021-1445
RHSA-2021:1859
RHSA-2021_1859
RLSA-2021:1859
SUSE-SU-2020:3624-1
SUSE-SU-2020:3897-1
SUSE-SU-2021:1233-1
SUSE-SU-2021:1962-1

Produtos afetados

Alt Linux
Centos
Elasticsearch
Grafana
Red Hat
Rocky Linux