PT-2022-23151 · Grafana+3 · Grafana+3

Vtorosyan

·

Publicado

2022-09-22

·

Atualizado

2026-05-24

·

CVE-2022-36062

CVSS v3.1

7.6

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 8.5.13
Versões do Grafana anteriores à 9.0.9
Versões do Grafana anteriores à 9.1.6
Descrição
O problema está relacionado à preservação inadequada de permissões, resultando em escalonamento de privilégios em algumas pastas nas quais “Admin” é a única permissão definida. Isso ocorre quando o RBAC foi desativado e depois reativado, pois as migrações que convertem permissões de pastas legadas para permissões RBAC não levam em conta o cenário em que a única permissão de usuário na pasta é “Admin”. Como resultado, o RBAC adiciona permissões para “Editores” e “Visualizadores”, permitindo que eles editem e visualizem pastas.
Recomendações
Para versões anteriores à 8.5.13, atualize para a versão 8.5.13 ou posterior.
Para versões anteriores à 9.0.9, atualize para a versão 9.0.9 ou posterior.
Para versões anteriores à 9.1.6, atualize para a versão 9.1.6 ou posterior.
Como solução alternativa temporária, quando a pasta/painel afetado for identificado, considere remover manualmente as permissões adicionais.

Exploit

Correção

Improper Preservation of Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-281

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2022-3295
ALT-PU-2023-1161
ALT-PU-2023-4133
ALT-PU-2023-4346
ALT-PU-2023-4567
BIT-GRAFANA-2022-36062
CVE-2022-36062
GHSA-P978-56HQ-R492
GO-2024-2854
OESA-2025-1186
OESA-2025-1187
OESA-2025-1188
OESA-2025-1189
OPENSUSE-SU-2022_4428-1
OPENSUSE-SU-2022_4437-1
OPENSUSE-SU-2024:12366-1
SUSE-SU-2022:3676-1
SUSE-SU-2022:4428-1
SUSE-SU-2022:4437-1
SUSE-SU-2022:4439-1
SUSE-SU-2023:2575-1
SUSE-SU-2023:2578-1
SUSE-SU-2023:2579-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1

Produtos afetados

Alt Linux
Grafana
Red Os
Suse