CVE-2022-31097

ALT: (7.3)

CVSS3: 6.4

Grafana és vulnerable al cross-site scripting, causat per la incorrecta validació de l’entrada subministrada per l’usuari per la funció d’Alertes Unificades. Un atacant remot autenticat podria explotar aquesta vulnerabilitat per a injectar un script maliciós en una pàgina web que s’executaria en el navegador web de la víctima dins del context de seguretat del lloc web d’allotjament, una vegada que la pàgina és vista. Un atacant podria utilitzar aquesta vulnerabilitat per a robar les credencials d’autenticació basades en les cookies de la víctima.

Sistemes Afectats

• Grafana Grafana 9.0.2
• Grafana Grafana 8.5.8
• Grafana Grafana 8.3.9
• Grafana Grafana 8.4.9
• Grafana Grafana 8.0

Remediació
Consulti el repositori GIT de Grafana per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://github.com/grafana/grafana/security/advisories/GHSA-vw7q-p2qg-4m5f
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31097