Vulnerabilidad de lectura arbitraria de archivos en Grafana (CVE-2021-43798)

16 dic. 2021 GMT+08:00

I. Información general

Recientemente, un investigador de seguridad reveló en Internet una vulnerabilidad de lectura arbitraria de archivos (CVE-2021-43798) en Grafana. Se trata de una vulnerabilidad de día cero. Los atacantes no autorizados pueden construir solicitudes maliciosas para explotar esta vulnerabilidad y obtener archivos confidenciales en el servidor.

Grafana es una plataforma de visualización y análisis de código abierto. Si usted es usuario de Grafana, verifique su sistema e implemente mejoras de seguridad de manera oportuna.

II. Severidad

Severidad: importante

(Severidad: baja, moderada, importante o crítica)

III. Productos afectados

Versiones afectadas:

Grafana 8.0.0-8.3.0

Versiones seguras:

Grafana 8.3.1, 8.2.7, 8.1.8, 8.0.7

IV. Manejo de la vulnerabilidad

Esta vulnerabilidad se corrigió en la versión oficial más reciente. Si su versión está dentro del rango afectado, instale la versión segura.

https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

Si no puede realizar la actualización de manera oportuna, complete las siguientes operaciones:

1. Configure Grafana de manera que esté abierta solo para direcciones de confianza.

2. No permita la conexión de Grafana con redes públicas a menos que sea necesario.

El servicio WAF de HUAWEI CLOUD ofrece protección contra esta vulnerabilidad. Si usted es usuario de WAF, configure el estado de la protección web básica como Block (Bloquear). Para obtener más detalles, consulte la página Cómo configurar las reglas básicas de protección web.

Nota: Antes de corregir vulnerabilidades, cree una copia de respaldo de sus archivos y realice una prueba exhaustiva.