Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las rutas /dashboard/snapshot/:key, o /api/snapshots/:key en Grafana (CVE-2021-39226)
Gravedad:
MediaMedia
Publication date: 05/10/2021
Last modified:
08/10/2021
Descripción:
Grafana es una plataforma de visualización de datos de código abierto. En las versiones afectadas los usuarios no autenticados y autenticados son capaces de visualizar la snapshot con la clave de base de datos más baja accediendo a las rutas literales /dashboard/snapshot/:key, o /api/snapshots/:key. Si el ajuste de configuración "public_mode" de la snapshot se establece en true (frente a default o false), unos usuarios no autenticados pueden eliminar la snapshot con la clave de base de datos más baja al acceder a la ruta literal /api/snapshots-delete/:deleteKey. Independientemente de la configuración de "public_mode" de la snapshot, unos usuarios autenticados pueden eliminar la snapshot con la clave de base de datos más baja accediendo a las rutas literales: /api/snapshots/:key, o /api/snapshots-delete/:deleteKey. La combinación de borrado y visualización permite un recorrido completo mediante todos los datos de las snapshots mientras se produce una pérdida total de datos de las mismas. Este problema se ha resuelto en las versiones 8.1.6 y 7.5.11. Si por alguna razón no puede actualizar puede usar un proxy inverso o similar para bloquear el acceso a las rutas literales /api/snapshots/:key, /api/snapshots-delete/:deleteKey, /dashboard/snapshot/:key, y /api/snapshots/:key. No tienen ninguna función normal y pueden ser deshabilitadas sin efectos secundarios

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: