PT-2021-17772 · Grafana+1 · Grafana Enterprise+2

Publicado

2021-03-22

·

Atualizado

2024-06-15

·

CVE-2021-28146

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
**Nome do software vulnerável e versões afetadas:
Grafana Enterprise, versões 7.4.0 a 7.4.4
Descrição:
A API HTTP de sincronização de equipes no Grafana Enterprise apresenta uma falha no controle de acesso. Em instâncias do Grafana que utilizam um serviço de autenticação externo, essa falha permite que qualquer usuário autenticado adicione grupos externos a equipes existentes, concedendo potencialmente a um usuário permissões de equipe que ele não deveria ter.
Recomendações:
Para as versões 7.4.0 a 7.4.4, atualize para a versão 7.4.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API HTTP de sincronização de equipes para minimizar o risco de exploração.

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863

Identificadores relacionados

BIT-GRAFANA-2021-28146
CVE-2021-28146
OPENSUSE-SU-2021:1148-1
OPENSUSE-SU-2021:1162-1
OPENSUSE-SU-2021:2662-1
OPENSUSE-SU-2021:2675-1
OPENSUSE-SU-2021_1148-1
OPENSUSE-SU-2021_1162-1
OPENSUSE-SU-2021_2662-1
OPENSUSE-SU-2021_2675-1
OPENSUSE-SU-2024:10818-1
SUSE-SU-2021:2660-1
SUSE-SU-2021:2673-1
SUSE-SU-2021:2675-1
SUSE-SU-2021:3907-1
SUSE-SU-2021:3908-1

Produtos afetados

Grafana
Grafana Enterprise
Suse