ID CVE-2020-13379
Summary The avatar feature in Grafana 3.0.1 through 7.0.1 has an SSRF Incorrect Access Control issue. This vulnerability allows any unauthenticated user/client to make Grafana send HTTP requests to any URL and return its result to the user/client. This can be used to gain information about the network that Grafana is running on. Furthermore, passing invalid URL objects could be used for DOS'ing Grafana via SegFault.
References
Vulnerable Configurations
  • cpe:2.3:a:grafana:grafana:3.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:3.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:3.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:3.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:3.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:3.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:3.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:3.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:3.1.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:3.1.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:3.1.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:3.1.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:3.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:3.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.0.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.0.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.0.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.0.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.0.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.0.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.1.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.1.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.1.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.1.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.2.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.2.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.2.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.2.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.3.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.3.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.3.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.3.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.5.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.5.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.5.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.5.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:4.6.5:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:4.6.5:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.0:beta5:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.0:beta5:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.1.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.1.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.1.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.1.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.1.5:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.1.5:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.2.5:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.3.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.3.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.3.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.3.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.3.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.3.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.3.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.3.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.4.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.4.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.4.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.4.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:5.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:5.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.6:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.6:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.5:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.6:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.7:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.7:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.4:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.4:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.5:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.5:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.6.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.6.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.6.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.6.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.3:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.3:*:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.0:-:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.0:-:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.1:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
  • cpe:2.3:a:netapp:e-series_performance_analyzer:-:*:*:*:*:*:*:*
    cpe:2.3:a:netapp:e-series_performance_analyzer:-:*:*:*:*:*:*:*
  • cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:*
    cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:*
  • cpe:2.3:a:opensuse:backports_sle:15.0:sp1:*:*:*:*:*:*
    cpe:2.3:a:opensuse:backports_sle:15.0:sp1:*:*:*:*:*:*
  • cpe:2.3:a:opensuse:backports_sle:15.0:sp2:*:*:*:*:*:*
    cpe:2.3:a:opensuse:backports_sle:15.0:sp2:*:*:*:*:*:*
CVSS
Base: 6.4 (as of 29-01-2021 - 16:41)
Impact:
Exploitability:
CWE CWE-918
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:P/I:N/A:P
redhat via4
advisories
bugzilla
id 1843640
title CVE-2020-13379 grafana: SSRF incorrect access control vulnerability allows unauthenticated users to make grafana send HTTP requests to any URL
oval
OR
  • comment Red Hat Enterprise Linux must be installed
    oval oval:com.redhat.rhba:tst:20070304026
  • AND
    • comment Red Hat Enterprise Linux 8 is installed
      oval oval:com.redhat.rhba:tst:20193384074
    • OR
      • AND
        • comment grafana is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641001
        • comment grafana is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659002
      • AND
        • comment grafana-azure-monitor is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641003
        • comment grafana-azure-monitor is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659004
      • AND
        • comment grafana-cloudwatch is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641005
        • comment grafana-cloudwatch is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659006
      • AND
        • comment grafana-elasticsearch is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641007
        • comment grafana-elasticsearch is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659008
      • AND
        • comment grafana-graphite is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641009
        • comment grafana-graphite is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659010
      • AND
        • comment grafana-influxdb is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641011
        • comment grafana-influxdb is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659012
      • AND
        • comment grafana-loki is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641013
        • comment grafana-loki is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659014
      • AND
        • comment grafana-mssql is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641015
        • comment grafana-mssql is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659016
      • AND
        • comment grafana-mysql is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641017
        • comment grafana-mysql is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659018
      • AND
        • comment grafana-opentsdb is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641019
        • comment grafana-opentsdb is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659020
      • AND
        • comment grafana-postgres is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641021
        • comment grafana-postgres is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659022
      • AND
        • comment grafana-prometheus is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641023
        • comment grafana-prometheus is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659024
      • AND
        • comment grafana-stackdriver is earlier than 0:6.3.6-2.el8_2
          oval oval:com.redhat.rhsa:tst:20202641025
        • comment grafana-stackdriver is signed with Red Hat redhatrelease2 key
          oval oval:com.redhat.rhsa:tst:20201659026
rhsa
id RHSA-2020:2641
released 2020-06-22
severity Important
title RHSA-2020:2641: grafana security update (Important)
rpms
  • grafana-0:6.3.6-2.el8_2
  • grafana-azure-monitor-0:6.3.6-2.el8_2
  • grafana-cloudwatch-0:6.3.6-2.el8_2
  • grafana-debuginfo-0:6.3.6-2.el8_2
  • grafana-elasticsearch-0:6.3.6-2.el8_2
  • grafana-graphite-0:6.3.6-2.el8_2
  • grafana-influxdb-0:6.3.6-2.el8_2
  • grafana-loki-0:6.3.6-2.el8_2
  • grafana-mssql-0:6.3.6-2.el8_2
  • grafana-mysql-0:6.3.6-2.el8_2
  • grafana-opentsdb-0:6.3.6-2.el8_2
  • grafana-postgres-0:6.3.6-2.el8_2
  • grafana-prometheus-0:6.3.6-2.el8_2
  • grafana-stackdriver-0:6.3.6-2.el8_2
  • grafana-0:6.2.2-6.el8_1
  • grafana-azure-monitor-0:6.2.2-6.el8_1
  • grafana-cloudwatch-0:6.2.2-6.el8_1
  • grafana-debuginfo-0:6.2.2-6.el8_1
  • grafana-elasticsearch-0:6.2.2-6.el8_1
  • grafana-graphite-0:6.2.2-6.el8_1
  • grafana-influxdb-0:6.2.2-6.el8_1
  • grafana-loki-0:6.2.2-6.el8_1
  • grafana-mssql-0:6.2.2-6.el8_1
  • grafana-mysql-0:6.2.2-6.el8_1
  • grafana-opentsdb-0:6.2.2-6.el8_1
  • grafana-postgres-0:6.2.2-6.el8_1
  • grafana-prometheus-0:6.2.2-6.el8_1
  • grafana-stackdriver-0:6.2.2-6.el8_1
  • servicemesh-grafana-0:6.4.3-11.el8
  • servicemesh-grafana-prometheus-0:6.4.3-11.el8
  • servicemesh-grafana-0:6.2.2-38.el8
  • servicemesh-grafana-prometheus-0:6.2.2-38.el8
  • grafana-0:5.2.4-3.el7rhgs
  • python-django-bash-completion-0:1.11.27-1.el7rhgs
  • python2-django-0:1.11.27-1.el7rhgs
  • python2-django-doc-0:1.11.27-1.el7rhgs
  • tendrl-grafana-plugins-0:1.6.3-23.el7rhgs
  • tendrl-monitoring-integration-0:1.6.3-23.el7rhgs
  • tendrl-node-agent-0:1.6.3-20.el7rhgs
refmap via4
confirm
fedora
  • FEDORA-2020-a09e5be0be
  • FEDORA-2020-e6e81a03d6
misc
mlist
  • [ambari-dev] 20210121 [GitHub] [ambari] dvitiiuk commented on a change in pull request #3279: AMBARI-25547 Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [ambari-dev] 20210121 [GitHub] [ambari] payert commented on a change in pull request #3279: AMBARI-25547 Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [ambari-dev] 20210121 [GitHub] [ambari] payert opened a new pull request #3279: AMBARI-25547 Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [ambari-dev] 20210122 [GitHub] [ambari] dvitiiuk commented on a change in pull request #3279: AMBARI-25547 Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [ambari-dev] 20210122 [GitHub] [ambari] payert commented on a change in pull request #3279: AMBARI-25547 Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [ambari-dev] 20210122 [GitHub] [ambari] payert opened a new pull request #3279: AMBARI-25547 Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [ambari-issues] 20200903 [jira] [Assigned] (AMBARI-25547) Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [ambari-issues] 20200903 [jira] [Created] (AMBARI-25547) Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [ambari-issues] 20210121 [jira] [Updated] (AMBARI-25547) Update Grafana version to 6.7.4 to avoid CVE-2020-13379
  • [oss-security] 20200609 Re: Grafana 6.7.4 and 7.0.2 released with fix for CVE-2020-13379
suse
  • openSUSE-SU-2020:0892
  • openSUSE-SU-2020:1105
  • openSUSE-SU-2020:1611
  • openSUSE-SU-2020:1646
Last major update 29-01-2021 - 16:41
Published 03-06-2020 - 19:15
Last modified 29-01-2021 - 16:41
Back to Top