CVE-2022-32275

Grafana versão 8.4.3

A vulnerabilidade no Grafana está relacionada à possibilidade de contornar o procedimento de autenticação. A exploração dessa vulnerabilidade pode permitir que um invasor remoto eleve seus privilégios enviando uma solicitação HTTP especialmente criada. O problema também é descrito como permitindo a leitura de arquivos por meio de uma URI específica, como “/dashboard/snapshot/%7B%7Bconstructor.constructor'/../../../../../../etc/passwd”. No entanto, a posição do fornecedor é de que não há vulnerabilidade, pois essa solicitação gera uma página de erro inofensiva, e não o conteúdo de /etc/passwd.

Para a versão 8.4.3 do Grafana, considere restringir o acesso ao endpoint /dashboard/snapshot/ para minimizar o risco de exploração. Como solução temporária, evite usar a variável constructor.constructor no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.