PT-2021-17412 · Grafana+6 · Grafana+6

Marefr

·

Publicado

2021-02-17

·

Atualizado

2024-03-06

·

CVE-2021-27358

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Grafana 6.7.3 a 7.4.1
Descrição
O recurso de snapshot no Grafana pode permitir que um invasor remoto não autenticado provoque uma negação de serviço (DoS) por meio de uma chamada de API remota, caso uma configuração comumente usada esteja definida. Esta vulnerabilidade está relacionada ao pacote github.com/grafana/grafana/pkg/middleware.
Recomendações
Para as versões 6.7.3 a 7.4.1, atualize para a versão 7.4.2 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao recurso de snapshot até que um patch esteja disponível.
Evite usar o recurso de snapshot em configurações comumente utilizadas até que o problema seja resolvido.

Exploit

Correção

Missing Authentication

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306CWE-400

Identificadores relacionados

ALSA-2021:4226
ALT-PU-2021-1708
ALT-PU-2022-1177
ALT-PU-2022-1249
BIT-GRAFANA-2021-27358
CESA-2021_4226
CVE-2021-27358
GHSA-H5RH-W6VM-9GHC
OESA-2021-1445
OPENSUSE-SU-2021:1148-1
OPENSUSE-SU-2021:2662-1
OPENSUSE-SU-2021_1148-1
OPENSUSE-SU-2021_2662-1
RHSA-2021:4226
RHSA-2021_4226
RLSA-2021:4226
SUSE-SU-2021:1962-1
SUSE-SU-2021:1963-1
SUSE-SU-2021:2554-1
SUSE-SU-2021:2660-1

Produtos afetados

Alt Linux
Almalinux
Centos
Grafana
Red Hat
Rocky Linux
Suse