Plateforme
other
Composant
marcusolsson-json-datasource
Corrigé dans
1.3.21
Une vulnérabilité de traversal de chemin (path traversal) a été découverte dans le plugin JSON Datasource pour Grafana. Cette faille permet à un attaquant d'accéder à des fichiers en dehors du chemin configuré, compromettant potentiellement la confidentialité et l'intégrité des données. Les versions affectées sont comprises entre 0.2.0 et 1.3.21 incluses. Une correction est disponible dans la version 1.3.21.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur exécutant le plugin JSON Datasource. Cela peut inclure des fichiers de configuration sensibles, des informations d'identification ou d'autres données confidentielles. L'attaquant peut potentiellement compromettre l'ensemble du système Grafana et accéder à des données critiques. Le risque est exacerbé si le serveur Grafana est exposé publiquement ou si des informations d'identification sensibles sont stockées dans des fichiers accessibles via la vulnérabilité.
Cette vulnérabilité a été publiée le 14 février 2024. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur le KEV de CISA. Des preuves de concept publiques sont disponibles, ce qui pourrait potentiellement conduire à une exploitation plus large.
Organizations using Grafana with the JSON Datasource Plugin are at risk, particularly those with dashboards configured by multiple users or those who have not implemented strict input validation measures. Shared hosting environments where multiple Grafana instances share the same server are also at increased risk.
• linux / server:
journalctl -u grafana | grep -i "path traversal"• generic web:
curl -I 'http://your-grafana-instance/d/YOUR_DASHBOARD/your-query?path=../../../../etc/passwd' # Attempt to access sensitive filedisclosure
Statut de l'Exploit
EPSS
0.53% (percentile 67%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin JSON Datasource vers la version 1.3.21 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au serveur Grafana et de surveiller les journaux à la recherche d'activités suspectes. Des règles WAF peuvent être configurées pour bloquer les requêtes contenant des séquences de traversal de chemin (../). Vérifiez après la mise à jour que le plugin est bien à jour et que les requêtes ne peuvent plus accéder à des fichiers en dehors du chemin configuré.
Actualice el plugin JSON Datasource a la versión 1.3.21 o superior. Esta versión corrige la vulnerabilidad de path traversal. Consulte el advisory de seguridad de Grafana para obtener más detalles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2023-5123 is a path traversal vulnerability in the Grafana JSON Datasource Plugin, allowing attackers to access files outside the intended directory by manipulating the dashboard path parameter.
You are affected if you are using Grafana with the JSON Datasource Plugin versions 0.2.0 through 1.3.21. Upgrade to 1.3.21 or later to resolve the issue.
Upgrade the Grafana JSON Datasource Plugin to version 1.3.21 or later. As a temporary workaround, implement a WAF rule to block path traversal attempts.
While no public exploits are currently known, the vulnerability's simplicity suggests a potential for exploitation. Monitor your Grafana instances closely.
Refer to the official Grafana security advisory: https://grafana.com/grafana/plugins/marcusolsson-json-datasource/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.