Visualisatiedienst Grafana heeft een patch uitgebracht voor een zeroday waarmee aanvallers toegang konden krijgen tot lokale bestanden. Er gaan proofs-of-concept rond op onder andere GitHub.
De kwetsbaarheid zit alleen in nieuwere versies van Grafana. Alle versies van de software tussen v8.0.0-beta1 tot en met v8.3.0 zijn kwetsbaar, maar oudere versies niet. Grafana heeft meerdere patches uitgebracht. De kwetsbaarheid wordt gefixt in versies 8.3.1, 8.2.7, 8.1.8 en 8.0.7.
Het gaat om een bug in de Grafana-software en niet in Grafana Cloud, zeggen de ontwikkelaars. De kwetsbaarheid staat bekend als CVE-2021-43798. Het gaat om een directory traversal-bug die specifiek in de locatie zit waar Grafana standaard plugins installeert. Vanuit /public/plugins/ zou het mogelijk zijn om in andere directories op een systeem te komen. Daar zouden ook folders in kunnen zitten zoals /etc/passwd/. De kwetsbaarheid krijgt dan ook een score van 7,5 en een High-classificering.
Grafana schrijft dat het op 3 december van het lek op de hoogte werd gebracht door een beveiligingsonderzoeker. Op 7 december had het bedrijf een patch uitgebracht, nadat bleek dat de kwetsbaarheid online verschenen was. Onder andere op GitHub staan niet alleen details over de bug, maar ook proofs-of-concept die aantonen hoe deze kan worden uitgebuit.
:strip_exif()/i/2004618420.jpeg?f=fpa)
:strip_exif()/i/2004648156.jpeg?f=fpa)
/i/2004620464.png?f=fpa)
:strip_exif()/i/2004607446.jpeg?f=fpa)
:strip_icc():strip_exif()/u/26028/penguin.jpg?f=community){kind=small}
/u/1219196/crop6324b2e35d04c_cropped.png?f=community){kind=small}
/u/265722/crop5a65d2055c45e_cropped.png?f=community){kind=small}
:strip_exif()/u/122790/ava.gif?f=community){kind=small}