PT-2022-16892 · Grafana+1 · Grafana Enterprise+2
Publicado
2022-04-12
·
Atualizado
2025-09-29
·
CVE-2022-24812
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Grafana Enterprise anteriores à 8.1.0-beta1
Descrição
O problema ocorre quando o controle de acesso refinado está habilitado e várias chaves de API com funções diferentes são usadas dentro da mesma organização. Devido ao mecanismo de cache, as permissões de uma chave de API são armazenadas em cache por 30 segundos, levando a uma possível escalada de privilégios. Por exemplo, se uma solicitação for feita com uma chave de API de administrador, as solicitações subsequentes com uma chave de API de visualizador podem herdar as permissões de administrador armazenadas em cache, permitindo acesso a privilégios superiores aos pretendidos.
Recomendações
Para versões anteriores à 8.1.0-beta1, atualize para uma versão posterior à 8.1.0-beta1 o mais rápido possível.
Como solução alternativa temporária, considere desativar o controle de acesso refinado para mitigar o problema.
Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Grafana
Grafana Enterprise