Theblackturtle

**Nome do software vulnerável e versões afetadas** Versões do Grafana anteriores à 7.5.11 Versões do Grafana anteriores à 8.1.6 **Descrição** A vulnerabilidade no Grafana permite que usuários autenticados e não autenticados visualizem o snapshot com a chave de banco de dados mais baixa acessando os caminhos literais: “/dashboard/snapshot/:key” ou “/api/snapshots/:key”. Se a configuração “public mode” do snapshot estiver definida como true, usuários não autenticados podem excluir o snapshot com a chave de banco de dados mais baixa acessando o caminho literal: “/api/snapshots-delete/:deleteKey”. Usuários autenticados podem excluir o snapshot com a chave de banco de dados mais baixa acessando os caminhos literais: “/api/snapshots/:key” ou “/api/snapshots-delete/:deleteKey”. Isso permite uma inspeção completa de todos os dados do snapshot, resultando na perda total desses dados. **Recomendações** Para versões anteriores à 7.5.11, atualize para a versão 7.5.11 ou posterior. Para versões anteriores à 8.1.6, atualize para a versão 8.1.6 ou posterior. Como solução alternativa temporária, considere usar um proxy reverso ou similar para bloquear o acesso aos caminhos literais: “/api/snapshots/:key”, “/api/snapshots-delete/:deleteKey”, “/dashboard/snapshot/:key” e “/api/snapshots/:key”. Eles não têm função normal e podem ser desativados sem efeitos colaterais.