PT-2021-7655 · Grafana+5 · Grafana+5
Theblackturtle
+1
·
Publicado
2021-10-05
·
Atualizado
2025-10-24
·
CVE-2021-39226
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 7.5.11
Versões do Grafana anteriores à 8.1.6
Descrição
A vulnerabilidade no Grafana permite que usuários autenticados e não autenticados visualizem o snapshot com a chave de banco de dados mais baixa acessando os caminhos literais: “/dashboard/snapshot/:key” ou “/api/snapshots/:key”. Se a configuração “public mode” do snapshot estiver definida como true, usuários não autenticados podem excluir o snapshot com a chave de banco de dados mais baixa acessando o caminho literal: “/api/snapshots-delete/:deleteKey”. Usuários autenticados podem excluir o snapshot com a chave de banco de dados mais baixa acessando os caminhos literais: “/api/snapshots/:key” ou “/api/snapshots-delete/:deleteKey”. Isso permite uma inspeção completa de todos os dados do snapshot, resultando na perda total desses dados.
Recomendações
Para versões anteriores à 7.5.11, atualize para a versão 7.5.11 ou posterior.
Para versões anteriores à 8.1.6, atualize para a versão 8.1.6 ou posterior.
Como solução alternativa temporária, considere usar um proxy reverso ou similar para bloquear o acesso aos caminhos literais: “/api/snapshots/:key”, “/api/snapshots-delete/:deleteKey”, “/dashboard/snapshot/:key” e “/api/snapshots/:key”. Eles não têm função normal e podem ser desativados sem efeitos colaterais.
Exploit
Correção
Missing Authorization
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Centos
Grafana
Red Hat
Rocky Linux
Suse