Xenom0Rph97

**Nome do software vulnerável e versões afetadas** Versões 2.x a 2.7.11 do InfluxDB OSS **Descrição** A vulnerabilidade permite que usuários autorizados com acesso de leitura ao recurso de autorização da organização padrão recuperem o token de operador administrativo. Isso é possível porque o token é armazenado na organização padrão. Observe-se que administradores com acesso total podem recuperar todos os tokens brutos por meio do comando `influx auth ls`. O fornecedor indica que o recurso de organizações está funcionando conforme o esperado e que os usuários podem optar por adicionar usuários a organizações não padrão. Uma versão futura do InfluxDB 2.x removerá a capacidade de recuperar tokens da API. **Recomendações** Para as versões 2.x a 2.7.11 do InfluxDB OSS, considere adicionar usuários a organizações não padrão para minimizar o risco de exploração, já que o recurso de organizações está funcionando conforme o esperado. Além disso, tenha cuidado ao conceder acesso de leitura ao recurso de autorização da organização padrão. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.