PT-2022-15059 · Grafana+6 · Grafana+6
Kã¼Råad Alsan
·
Publicado
2022-02-08
·
Atualizado
2025-09-29
·
CVE-2022-21713
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Grafana (versões afetadas não especificadas)
Descrição
O Grafana é uma plataforma de código aberto para monitoramento e observabilidade. As versões afetadas do Grafana expõem vários pontos de extremidade de API que não lidam adequadamente com a autorização do usuário. O endpoint
/teams/:teamId permitirá que um invasor autenticado visualize dados indesejados ao consultar o ID específico de uma equipe. O endpoint /teams/:search permitirá que um invasor autenticado pesquise equipes e veja o número total de equipes disponíveis, incluindo aquelas às quais o usuário não tem acesso. O endpoint /teams/:teamId/members, quando o sinalizador editors can admin está ativado, permite que um invasor autenticado visualize dados indesejados ao consultar o ID específico da equipe.Recomendações
Como solução alternativa temporária, considere restringir o acesso aos endpoints de API
/teams/:teamId, /teams/:search e /teams/:teamId/members até que uma correção esteja disponível.Recomenda-se que os usuários atualizem o mais rápido possível.
Não há soluções alternativas conhecidas para este problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Incorrect Authorization
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Grafana
Red Hat
Rocky Linux
Suse