Vulnérabilité dans le composant Grafana dans F5 BIG-IQ

Date de publication :

CVE-2019-15043 [Score CVSS v3 : 7.5] : Dans Grafana 2.x à 6.x avant 6.3.4, certaines parties de l'API HTTP ne nécessitent pas d’authentification. Un attaquant distant et non-authentifié peut alors être en mesure de provoquer un déni de service contre les serveurs Grafana vulnérables.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Déni de service

Criticité

    Score CVSS v3 : 7.5

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

Les versions suivantes de Grafana sont impactées par cette vulnérabilités :

    De 2.0.0 jusqu’à 5.4.5
    De 6.0.0 jusqu’à 6.3.4

Les versions suivantes de F5 BIG-IQ Centralized Management sont impactées par ces vulnérabilités : 

    De 6.0.0 jusqu’à 6.1.0
    De 7.0.0 jusqu’à 7.1.0
    8.0.0

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour Graphana vers la versions

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens