CVE-2021-43813

**Nome do software vulnerável e versões afetadas:

Versões do Grafana anteriores à 8.3.2 e à 7.5.12

Descrição:

O Grafana é uma plataforma de código aberto para monitoramento e observabilidade. Ele contém uma vulnerabilidade de traversal de diretório para arquivos .md com nomes totalmente em minúsculas ou totalmente em maiúsculas. A vulnerabilidade tem escopo limitado e permite o acesso a arquivos com a extensão .md apenas a usuários autenticados. As instâncias do Grafana Cloud não foram afetadas pela vulnerabilidade.

Recomendações:

Para versões anteriores à 8.3.2, atualize para a versão 8.3.2.

Para versões anteriores à 7.5.12, atualize para a versão 7.5.12.

Para usuários que não podem atualizar, a execução de um proxy reverso na frente do Grafana que normalize o PATH da solicitação mitigará a vulnerabilidade. O proxy também deverá ser capaz de lidar com caminhos codificados por URL.

Alternativamente, para arquivos .md totalmente em minúsculas ou totalmente em maiúsculas, os usuários podem bloquear /api/plugins/./markdown/. sem perder nenhuma funcionalidade além do texto de ajuda do plugin incorporado.