PT-2022-5682 · Grafana+3 · Grafana+3

Kminehart

·

Publicado

2022-07-15

·

Atualizado

2025-09-29

·

CVE-2022-31097

CVSS v3.1

8.7

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 9.0.3, 8.5.9, 8.4.10 e 8.3.10
Descrição
O Grafana é uma plataforma de código aberto para monitoramento e observabilidade. O problema está relacionado a um cross-site scripting armazenado por meio do recurso Unified Alerting do Grafana. Um invasor pode explorar essa vulnerabilidade para escalar privilégios de editor para administrador, induzindo um administrador autenticado a clicar em um link.
Recomendações
Para versões anteriores às 9.0.3, 8.5.9, 8.4.10 e 8.3.10, atualize para as versões 9.0.3, 8.5.9, 8.4.10 ou 8.3.10 para resolver o problema.
Como solução alternativa temporária, considere desativar os alertas ou usar o sistema de alertas legado até que o problema seja resolvido.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2022-3295
ALT-PU-2023-1161
ALT-PU-2023-4133
ALT-PU-2023-4346
ALT-PU-2023-4567
BDU:2022-07077
BIT-GRAFANA-2022-31097
CVE-2022-31097
GHSA-VW7Q-P2QG-4M5F
GO-2024-2857
OESA-2025-1186
OESA-2025-1187
OESA-2025-1188
OESA-2025-1189
OPENSUSE-SU-2022_3751-1
OPENSUSE-SU-2022_3765-1
OPENSUSE-SU-2022_4428-1
OPENSUSE-SU-2022_4437-1
OPENSUSE-SU-2024:12260-1
SUSE-SU-2022:3676-1
SUSE-SU-2022:3747-1
SUSE-SU-2022:3751-1
SUSE-SU-2022:3765-1
SUSE-SU-2022:4428-1
SUSE-SU-2022:4437-1
SUSE-SU-2022:4439-1
SUSE-SU-2022_3751-1
SUSE-SU-2023:2575-1
SUSE-SU-2023:2578-1
SUSE-SU-2023:2579-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1

Produtos afetados

Alt Linux
Grafana
Red Os
Suse