CVE-2021-39226 лог

Источники	CVE Red Hat MITRE NVD Debian Ubuntu SUSE CVE Details CIRCL Bugs Arch Linux Red Hat Gentoo SUSE GitHub Lists oss-security full-disclosure bugtraq Misc GitHub code web поиск
Уровень	Критический
Удалённо	Да
Тип	Обход аутентификации
Описание	Уязвимость веб-инструмента представления данных Grafana связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, доступ к защищаемой информации, вызвать отказ в обслуживании или повысить свои привилегии.

Группа	Пакет	Затронуто	Исправлено	Уровень	Статус	Тикет
AVG-73	grafana	8.1.5-1	8.1.6-1	Критический	Исправлено

Решение
https://github.com/grafana/grafana/security/advisories/GHSA-69j6-29vr-p3j9 https://github.com/grafana/grafana/commit/2d456a6375855364d098ede379438bf7f0667269

Примечание
Обходной путь ========== Проблему можно устранить, используя обратный прокси-сервер или что-то подобное, чтобы заблокировать доступ к буквальным путям: /api/snapshots/:key, /api/snapshots-delete/:deleteKey, /dashboard/snapshot/:key, и /api/snapshots/:key. Они не имеют нормальной функции и могут быть отключены без побочных эффектов.

Примечание

Обходной путь
==========

Проблему можно устранить, используя обратный прокси-сервер или что-то подобное, чтобы заблокировать доступ к буквальным путям: /api/snapshots/:key, /api/snapshots-delete/:deleteKey, /dashboard/snapshot/:key, и /api/snapshots/:key. Они не имеют нормальной функции и могут быть отключены без побочных эффектов.