7 grudnia zostały wydane łatki likwidujące bardzo poważną lukę bezpieczeństwa, wykorzystującą metodę path traversal (możliwość odczytywania plików z serwera bez konieczności uwierzytelnienia).

Atakujący przechodząc przez ścieżki URL wtyczek do Grafany, może dostać się do lokalnych plików na serwerze, w tym np. do /etc/passwd. Zdobyte informacje mogą posłużyć do dalszego ataku. 
Pluginy instalowane są domyślnie wraz z konfigurowaniem nowej instancji Grafany dlatego podatne są wszystkie wersje od 8.0.0-beta1 do 8.3.0.

Luka jest aktywnie wykorzystywana w przestrzeni Internetu dlatego rekomendujemy jak najszybszą aktualizację.

Więcej informacji w języku angielskim, można znaleźć poniżej:
https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43798