O Grafana é uma aplicação open source de monitoramento e observação.
A esta falha foi atribuído o CVE-2021-43798, que basicamente reside no diretório de plugins da aplicação /grafana_host/public/plugins
O que esta falha permite é essencialmente alterar o diretório de leitura dos ficheiros e aceder, consequentemente, a ficheiros locais.
Versões afetadas
8.0.0
8.3.0
Versões corrigidas
8.0.7
8.1.8
8.2.7
8.3.1
Comentários por parte de investigadores quanto a esta falha
Ou seja, todos os inputs que começassem por "/" que indicaria o diretório root seriam filtrados, não os que tivessem ".." no início.
Correção da falha e download do patch: https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/
Informações por parte do Tenable: https://www.tenable.com/cve/CVE-2021-43798
Comentários