PT-2021-7636 · Grafana+2 · Grafana+2

Jordy Versmissen

·

Publicado

2021-11-09

·

Atualizado

2026-03-23

·

CVE-2021-43798

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Grafana 8.0.0-beta1 a 8.3.0
Descrição
O Grafana está sujeito a uma vulnerabilidade de traversal de diretório, permitindo que invasores acessem arquivos locais. O caminho da URL vulnerável é: <grafana host url>/public/plugins/<plugin-id>/, onde é o ID do plugin para qualquer plugin instalado. Vários relatórios indicam um ressurgimento de tentativas de exploração, com invasores visando sistemas internacionalmente, incluindo infraestruturas críticas. A vulnerabilidade permite o acesso não autorizado a arquivos locais, expondo potencialmente dados confidenciais. A vulnerabilidade pode ser explorada por meio de solicitações HTTP especificamente criadas.
Recomendações
Atualize o Grafana para a versão 8.0.7, 8.1.8, 8.2.7 ou 8.3.1 o mais rápido possível. Se a atualização não for viável, implemente um proxy reverso na frente do Grafana para normalizar o PATH da solicitação, como usar a configuração normalize path no Envoy.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALSA-2021_4226
ALSA-2022_1781
ALSA-2022_5716
ALSA-2022_5717
ALSA-2022_7519
ALSA-2022_8057
ALSA-2023_2167
ALSA-2025_16880
ALT-PU-2021-3505
ALT-PU-2021-3543
ALT-PU-2022-1249
BDU:2023-00493
BIT-GRAFANA-2021-43798
CVE-2021-43798
GHSA-8PJX-JJ86-J47P
OPENSUSE-SU-2022_1396-1
OPENSUSE-SU-2022_4428-1
OPENSUSE-SU-2022_4437-1
OPENSUSE-SU-2024:11816-1
SUSE-FU-2022:1419-1
SUSE-SU-2022:0751-1
SUSE-SU-2022:1396-1
SUSE-SU-2022:2134-1
SUSE-SU-2022:3676-1
SUSE-SU-2022:4428-1
SUSE-SU-2022:4437-1
SUSE-SU-2022:4439-1
SUSE-SU-2022_2134-1
SUSE-SU-2022_4428-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1
SUSE-SU-2024:0486-1
SUSE-SU-2024:0487-1

Produtos afetados

Alt Linux
Grafana
Suse