PT-2021-17773 · Grafana+2 · Grafana Enterprise+3

Vardan Torosyan

·

Publicado

2021-03-22

·

Atualizado

2024-03-06

·

CVE-2021-28147

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
**Nome do software vulnerável e versões afetadas:
Grafana Enterprise versões 6.x a 6.7.5
Grafana Enterprise versões 7.x a 7.3.9
Grafana Enterprise versões 7.4.x a 7.4.4
Descrição:
A API HTTP de sincronização de equipes no Grafana Enterprise apresenta um problema de controle de acesso incorreto. Em instâncias do Grafana que utilizam um serviço de autenticação externo e têm o recurso EditorsCanAdmin habilitado, esse problema permite que qualquer usuário autenticado adicione grupos externos a qualquer equipe existente. Isso pode ser usado para conceder a um usuário permissões de equipe que ele não deveria ter.
Recomendações:
Para as versões 6.x a 6.7.5 do Grafana Enterprise, atualize para a versão 6.7.6 ou posterior.
Para as versões 7.x a 7.3.9 do Grafana Enterprise, atualize para a versão 7.3.10 ou posterior.
Para as versões 7.4.x a 7.4.4 do Grafana Enterprise, atualize para a versão 7.4.5 ou posterior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

ALT-PU-2021-1708
ALT-PU-2022-1177
ALT-PU-2022-1249
BIT-GRAFANA-2021-28147
CVE-2021-28147
OESA-2021-1445
OPENSUSE-SU-2021:1148-1
OPENSUSE-SU-2021:1162-1
OPENSUSE-SU-2021:2662-1
OPENSUSE-SU-2021:2675-1
OPENSUSE-SU-2021_1148-1
OPENSUSE-SU-2021_1162-1
OPENSUSE-SU-2021_2662-1
OPENSUSE-SU-2021_2675-1
SUSE-SU-2021:2660-1
SUSE-SU-2021:2673-1
SUSE-SU-2021:2675-1
SUSE-SU-2021:3907-1
SUSE-SU-2021:3908-1

Produtos afetados

Alt Linux
Grafana
Grafana Enterprise
Suse