An issue was discovered in Grafana 5.4.0. Passwords for data sources used by Grafana (e.g., MySQL) are not encrypted. An admin user can reveal passwords for any data source by pressing the "Save and test" button within a data source's settings menu. When watching the transaction with Burp Proxy, the password for the data source is revealed and sent to the server. From a browser, a prompt to save the credentials is generated, and the password can be revealed by simply checking the "Show password" box.
Se detectó un problema en Grafana versión 5.4.0. Las contraseñas para las fuentes de datos usadas por Grafana (por ejemplo, MySQL) no están encriptadas. Un usuario administrador puede revelar contraseñas para cualquier fuente de datos presionando el botón "Save and test" dentro del menú de configuración de una fuente de datos. Al visualizar la transacción con Burp Proxy, la contraseña de la fuente de datos es revelada y se envía hacia el servidor. Desde un navegador, se genera un aviso para guardar las credenciales, y la contraseña puede ser revelada mediante la comprobación simple de la casilla "Show password"
