Jmatosgrafana

**Nome do software vulnerável e versões afetadas** Grafana versão 8.4.3 **Descrição** A vulnerabilidade no Grafana está relacionada à possibilidade de contornar o procedimento de autenticação. A exploração dessa vulnerabilidade pode permitir que um invasor remoto eleve seus privilégios enviando uma solicitação HTTP especialmente criada. O problema também é descrito como permitindo a leitura de arquivos por meio de uma URI específica, como “/dashboard/snapshot/%7B%7Bconstructor.constructor'/../../../../../../etc/passwd”. No entanto, a posição do fornecedor é de que não há vulnerabilidade, pois essa solicitação gera uma página de erro inofensiva, e não o conteúdo de /etc/passwd. **Recomendações** Para a versão 8.4.3 do Grafana, considere restringir o acesso ao endpoint /dashboard/snapshot/ para minimizar o risco de exploração. Como solução temporária, evite usar a variável `constructor.constructor` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.