PT-2021-23209 · Grafana+2 · Grafana+2

Richih

·

Publicado

2021-11-15

·

Atualizado

2024-06-15

·

CVE-2021-41244

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 8.0 a 8.2.3 do Grafana
Descrição
O Grafana é uma plataforma de código aberto para monitoramento e observabilidade. Nas versões afetadas, quando o recurso beta de controle de acesso refinado está ativado e há mais de uma organização na instância do Grafana, os administradores podem acessar usuários de outras organizações. O Grafana 8.0 introduziu um mecanismo que permitia aos usuários com a função de Administrador da Organização listar, adicionar, remover e atualizar as funções dos usuários em outras organizações nas quais não fossem administradores. Com o controle de acesso refinado ativado, os administradores da organização podem listar, adicionar, remover e atualizar as funções dos usuários em outra organização, na qual não possuem a função de administrador da organização.
Recomendações
Para as versões 8.0 a 8.2.3, atualize para a versão 8.2.4 o mais rápido possível.
Se não for possível atualizar, desative o controle de acesso refinado usando um sinalizador de recurso.

Exploit

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-610

Identificadores relacionados

ALT-PU-2022-1806
ALT-PU-2022-1820
ALT-PU-2023-4567
BIT-GRAFANA-2021-41244
CVE-2021-41244
GHSA-MPWP-42X6-4WMX
OPENSUSE-SU-2022_1396-1
OPENSUSE-SU-2022_4428-1
OPENSUSE-SU-2022_4437-1
OPENSUSE-SU-2024:11816-1
SUSE-FU-2022:1419-1
SUSE-SU-2022:0751-1
SUSE-SU-2022:1396-1
SUSE-SU-2022:2134-1
SUSE-SU-2022:3676-1
SUSE-SU-2022:4428-1
SUSE-SU-2022:4437-1
SUSE-SU-2022:4439-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1

Produtos afetados

Alt Linux
Grafana
Suse