Vulnerabilità: CVE-2020-13379

La funzione di avatar in Grafana 3.0.1 tramite 7.0.1 ha un non corretto problema di controllo di accesso SSRF. Questa vulnerabilità consente a qualsiasi utente / cliente non autenticato di effettuare richieste HTTP Grafana invio a qualsiasi URL e restituisce il suo risultato per l’utente / cliente. Questo può essere usato per ottenere informazioni sulla rete che Grafana è in esecuzione. Inoltre, passando oggetti URL non valido potrebbe essere utilizzato per DOS’ing Grafana via segmentation fault.


http://www.openwall.com/lists/oss-security/2020/06/03/4
https://grafana.com/blog/2020/06/03/grafana-6.7.4-and-7.0.2-released-with-important-security-fix/
https://security.netapp.com/advisory/ntap-20200608-0006/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EEKSZ6GE4EDOFZ23NGYWOCMD6O4JF5SO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/O2KSCCGKNEENZN3DW7TSPFBBUZH3YZXZ/
http://packetstormsecurity.com/files/158320/Grafana-7.0.1-Denial-Of-Service.html
https://community.grafana.com/t/grafana-7-0-2-and-6-7-4-security-update/31408
https://community.grafana.com/t/release-notes-v6-7-x/27119
https://community.grafana.com/t/release-notes-v7-0-x/29381
https://mostwanted002.cf/post/grafanados/
https://rhynorater.github.io/CVE-2020-13379-Write-Up
https://lists.apache.org/thread.html/re75f59639f3bc1d14c7ab362bc4485ade84f3c6a3c1a03200c20fe13@%3Cissues.ambari.apache.org%3E
https://lists.apache.org/thread.html/r6bb57124a21bb638f552d81650c66684e70fc1ff9f40b6a8840171cd@%3Cissues.ambari.apache.org%3E
http://www.openwall.com/lists/oss-security/2020/06/09/2
http://lists.opensuse.org/opensuse-security-announce/2020-06/msg00060.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00083.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00009.html
http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00017.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13379


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi