PT-2021-17774 · Grafana+2 · Grafana Enterprise+3

Publicado

2021-03-22

·

Atualizado

2024-06-15

·

CVE-2021-28148

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
**Nome do software vulnerável e versões afetadas:
Grafana Enterprise versões 6.x a 6.7.5
Grafana Enterprise versões 7.x a 7.3.9
Grafana Enterprise versões 7.4.x a 7.4.4
Descrição:
Um dos pontos de extremidade da API HTTP de insights de uso no Grafana Enterprise pode ser acessado sem qualquer autenticação. Isso permite que qualquer usuário não autenticado envie um número ilimitado de solicitações ao ponto de extremidade, levando a um ataque de negação de serviço (DoS) contra uma instância do Grafana Enterprise.
Recomendações:
Para as versões 6.x a 6.7.5, atualize para a versão 6.7.6 ou posterior.
Para as versões 7.x a 7.3.9, atualize para a versão 7.3.10 ou posterior.
Para as versões 7.4.x a 7.4.4, atualize para a versão 7.4.5 ou posterior.

Exploit

Correção

DoS

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-306

Identificadores relacionados

ALT-PU-2021-1708
ALT-PU-2022-1177
ALT-PU-2022-1249
BIT-GRAFANA-2021-28148
CVE-2021-28148
OESA-2021-1445
OPENSUSE-SU-2021:1148-1
OPENSUSE-SU-2021:1162-1
OPENSUSE-SU-2021:2662-1
OPENSUSE-SU-2021:2675-1
OPENSUSE-SU-2021_1148-1
OPENSUSE-SU-2021_1162-1
OPENSUSE-SU-2021_2662-1
OPENSUSE-SU-2021_2675-1
OPENSUSE-SU-2024:10818-1
SUSE-SU-2021:2660-1
SUSE-SU-2021:2673-1
SUSE-SU-2021:2675-1
SUSE-SU-2021:3907-1
SUSE-SU-2021:3908-1

Produtos afetados

Alt Linux
Grafana
Grafana Enterprise
Suse