O Grafana é uma aplicação open source de monitoramento e observação.

A esta falha foi atribuído o CVE-2021-43798, que basicamente reside no diretório de plugins da aplicação /grafana_host/public/plugins

O que esta falha permite é essencialmente alterar o diretório de leitura dos ficheiros e aceder, consequentemente, a ficheiros locais.

Versões afetadas

8.0.0

8.3.0

Versões corrigidas

8.0.7

8.1.8

8.2.7

8.3.1

Comentários por parte de investigadores quanto a esta falha

Ou seja, todos os inputs que começassem por "/" que indicaria o diretório root seriam filtrados, não os que tivessem ".." no início.

Correção da falha e download do patch: https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/

Informações por parte do Tenable: https://www.tenable.com/cve/CVE-2021-43798