CVE-2024-8986 (CVSS 9.1): Falha crítica do SDK do plugin Grafana expõe informações confidenciais

O Grafana Plugin SDK, projetado para facilitar o desenvolvimento de plugins de backend usando a linguagem de programação Go, foi encontrado para agrupar metadados de build nos binários compilados. Esses metadados incluem o URI do repositório usado para o plugin, que é recuperado executando o git remote get-url origincomando.

O problema surge quando os desenvolvedores incluem credenciais dentro de seus URIs de repositório, geralmente feito para habilitar a busca de dependências privadas. Em tais casos, o binário final do plugin acaba contendo o URI completo, incluindo essas credenciais sensíveis.

O impacto potencial dessa vulnerabilidade é significativo. Um invasor que obtém acesso a um plugin criado com as versões afetadas do SDK pode facilmente extrair essas credenciais incorporadas, potencialmente concedendo a ele acesso não autorizado a repositórios privados e ao código ou dados sensíveis que eles contêm.

A pontuação CVSS de 9,1 ressalta a natureza crítica dessa falha. Isso significa que a vulnerabilidade é relativamente fácil de explorar e pode levar a um comprometimento severo da confidencialidade.

Todas as versões do Grafana Plugin SDK para Go até e incluindo a versão 0.249.0 são impactadas pelo CVE-2024-8986. A equipe do Grafana prontamente abordou o problema ao lançar a versão 0.250.0 .

Desenvolvedores que construíram plugins Grafana usando as versões vulneráveis ​​do SDK são fortemente encorajados a atualizar para a versão 0.250.0 ou posterior imediatamente. Além disso, é crucial revisar quaisquer credenciais de repositório potencialmente expostas e tomar as medidas apropriadas para rotacioná-las.