<div dir="auto">Hey thanks for the response can I get any kind of token of appreciation for my work if possible?<div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Best,</div><div dir="auto">Dgirlwhohacks</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 28 Feb, 2021, 9:16 pm Jeremy Stanley, <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2021-02-28 17:03:13 +0530 (+0530), Divya Singh wrote:<br>
> Any update on this?<br>
[...]<br>
<br>
Thanks for the reminder, subsequent discussion ended up happening in<br>
IRC and we neglected to follow up to this mailing list thread.<br>
<br>
Roughly 22 hours after you contacted this discussion list (some of<br>
the delay was waiting on list moderators like me to approve the<br>
message), we merged <a href="https://review.opendev.org/775548" rel="noreferrer noreferrer" target="_blank">https://review.opendev.org/775548</a> to block<br>
access to any paths starting with "/api/snapshots" after confirming<br>
that the latest Grafana release was still vulnerable for sites like<br>
ours configured with anonymous access. At the same time, we also<br>
reached out to the Grafana maintainers privately via encrypted<br>
E-mail to let them know about this alternative avenue to the<br>
vulnerability.<br>
<br>
A couple of days later they pushed and merged<br>
<a href="https://github.com/grafana/grafana/pull/31263" rel="noreferrer noreferrer" target="_blank">https://github.com/grafana/grafana/pull/31263</a> to correct it,<br>
cherry-picking a backport of it to the v7.4.x series in<br>
<a href="https://github.com/grafana/grafana/pull/31266" rel="noreferrer noreferrer" target="_blank">https://github.com/grafana/grafana/pull/31266</a> and immediately<br>
releasing that as v7.4.2. The next day we merged<br>
<a href="https://review.opendev.org/776553" rel="noreferrer noreferrer" target="_blank">https://review.opendev.org/776553</a> to upgrade our deployment to the<br>
new fixed version, but kept access to /api/snapshots blocked as we<br>
treat the service as a read-only interface anyway (configured and<br>
managed exclusively through automated orchestration tools driven by<br>
code-reviewed Git commits).<br>
<br>
Thanks again for bringing this to our attention!<br>
-- <br>
Jeremy Stanley<br>
</blockquote></div>