PT-2022-6560 · Grafana+7 · Grafana+7
Jasu Vindig
·
Publicado
2022-01-21
·
Atualizado
2025-09-29
·
CVE-2022-21702
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Grafana (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que um invasor forneça conteúdo HTML por meio da fonte de dados ou do proxy de plug-in do Grafana, induzindo um usuário a visitar uma página HTML especialmente criada e executando um ataque de Cross-site Scripting (XSS). Isso pode ser feito comprometendo uma fonte de dados existente ou configurando um serviço público e instruindo os usuários a configurá-lo em sua instância do Grafana. O invasor deve estar no controle do servidor HTTP que serve a URL da fonte de dados ou do plugin e fazer com que um usuário autenticado clique em um link especialmente criado. Não há soluções alternativas conhecidas para este problema.
Recomendações
Atualize para uma versão corrigida.
Como solução temporária, considere restringir o acesso aos proxies
datasource e plugin até que um patch esteja disponível.Evite usar links especialmente criados que apontem para fontes de dados ou plug-ins controlados pelo invasor até que o problema seja resolvido.
Restrinja o acesso a plug-ins comprometidos para minimizar o risco de exploração.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Grafana
Red Hat
Red Os
Rocky Linux
Suse