TLP:WHITE 
0-day XSS almacenado en Grafana

Descripción
Se ha revelado una vulnerabilidad 0-day del tipo XSS en la función Alertas unificadas de Grafana. Este XSS almacenado podría usarse para elevar los privilegios de Editor a Administrador. Esta vulnerabilidad está clasificada con un CVSS 7.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N). Un atacante podría aprovechar esta vulnerabilidad para aumentar los privilegios del editor al administrador al engañar a un administrador autenticado para que haga clic en un enlace.
Productos afectados
Todas las versiones de Grafana con la versión 8.0 o superior están afectadas.
Riesgo
Alto
Soluciones
Ya se han publicado una serie de actualizaciones que corrigen esta vulnerabilidad. Todas las instalaciones posteriores a Grafana v8.0 deben actualizarse lo antes posible.
Referencias
Publicación oficial
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es