Mxalis

**Nome do software vulnerável e versões afetadas** Versões do Grafana anteriores à 7.5.13 Versões do Grafana anteriores à 8.3.4 **Descrição** O problema está relacionado ao recurso Forward OAuth Identity no Grafana, que pode permitir que detentores de tokens de API recuperem dados aos quais talvez não tenham acesso autorizado. Isso ocorre quando uma fonte de dados tem o recurso Forward OAuth Identity ativado e uma consulta é enviada a essa fonte de dados com um token de API e sem outras credenciais de usuário, encaminhando a identidade OAuth do usuário que fez login mais recentemente. O ataque depende de condições específicas, incluindo a presença de fontes de dados que suportem o recurso Forward OAuth Identity, o recurso estar ativado para uma fonte de dados, o OAuth estar habilitado e a presença de chaves de API utilizáveis. **Recomendações** Para versões anteriores à 7.5.13, atualize para a versão 7.5.13 ou posterior. Para versões anteriores à 8.3.4, atualize para a versão 8.3.4 ou posterior. Como solução alternativa temporária, considere desativar o recurso “Forward OAuth Identity” para todas as fontes de dados até que um patch seja aplicado. Restrinja o acesso a fontes de dados que suportam o recurso “Forward OAuth Identity” para minimizar o risco de exploração. Evite usar tokens de API para consultas a fontes de dados com o recurso “Forward OAuth Identity” ativado até que o problema seja resolvido.