Přehled
Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti třetí strany používané v rámci DPGW.
Podrobnosti o zranitelnosti
- CVE ID: CVE-2026-39882
- Název závislosti: prometheus-metrics
- Ovlivněná verze závislosti: < 4.1.132, < 4.2.10
- Skóre závažnosti: CVSS:3.1 = 5.3 Medium
Dotčené verze DPGW
- 1.13.13-REL – 1.13.17-REL
Posouzení rizik a použitelnosti
Použití
DPGW využívá nástroj prometheus-metrics k poskytování metrik pro monitorování, které jsou načítány nástrojem Grafana Alloy.
Analýza
CVE-2026-39882
Stav
Ovlivněno
Skóre závažnosti v kontextu DPGW: 0.9 Low
CVSS:4.0/AV:L/AC:H/AT:P/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:P
Dopad na DPGW
Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: vyčerpání paměti v případě, že je nakonfigurovaný endpoint collector pod kontrolou útočníka (nebo pokud útočník v síti dokáže provést útok typu „man-in-the-middle“ na exporter connection).
Jelikož koncový bod metrik by měl být vždy přístupný pouze z lokální sítě, útočník by musel mít pod kontrolou Grafana Alloy nainstalovanou na serveru. To klade na útok další požadavky, a proto je riziko nízké.
Náprava a zmírnění dopadů
Plánovaná oprava
Aktualizujte na verzi: 1.13.18-REL (vydání plánováno na polovinu dubna 2026) nebo novější
Akce uživatele
Zkontrolujte, zda je endpoint /metrics povolen pouze pro konektory, ke kterým lze přistupovat pouze prostřednictvím lokálního připojení. Konfigurace: /dpgw/modules/module[@name=‚Monitoring‘]/parameters/@web-connectors by neměla obsahovat znak „*“ ani veřejně přístupné konektory.