Vulnérabilité dans le composant Grafana dans F5 BIG-IQ
Date de publication :
CVE-2019-15043 [Score CVSS v3 : 7.5] : Dans Grafana 2.x à 6.x avant 6.3.4, certaines parties de l'API HTTP ne nécessitent pas d’authentification. Un attaquant distant et non-authentifié peut alors être en mesure de provoquer un déni de service contre les serveurs Grafana vulnérables.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions suivantes de Grafana sont impactées par cette vulnérabilités :
- De 2.0.0 jusqu’à 5.4.5
- De 6.0.0 jusqu’à 6.3.4
Les versions suivantes de F5 BIG-IQ Centralized Management sont impactées par ces vulnérabilités :
- De 6.0.0 jusqu’à 6.1.0
- De 7.0.0 jusqu’à 7.1.0
- 8.0.0
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Graphana vers la versions
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.