PT-2022-7299 · Grafana+7 · Grafana+7
Kminehart
·
Publicado
2022-07-14
·
Atualizado
2025-09-29
·
CVE-2022-31107
CVSS v4.0
7.6
Alta
| Vetor | AV:N/AC:H/AT:P/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Grafana 5.3 a 9.0.3
Versões do Grafana 8.3 a 8.3.10
Versões do Grafana 8.4 a 8.4.10
Versões do Grafana 8.5 a 8.5.9
Descrição
A vulnerabilidade está relacionada a um problema de autorização na plataforma Grafana, permitindo que um usuário mal-intencionado assuma o controle da conta de outro usuário. Isso pode ocorrer quando o usuário mal-intencionado está autorizado a fazer login por meio de um IdP OAuth configurado, seu ID de usuário externo e endereço de e-mail não estão associados a uma conta Grafana e ele conhece o nome de usuário Grafana do usuário alvo. O usuário mal-intencionado pode então definir seu nome de usuário no provedor OAuth como o do usuário alvo e fazer login no Grafana, obtendo acesso à conta do usuário alvo.
Recomendações
Para as versões 5.3 a 9.0.3, atualize para a versão 9.0.3 ou posterior.
Para as versões 8.3 a 8.3.10, atualize para a versão 8.3.10 ou posterior.
Para as versões 8.4 a 8.4.10, atualize para a versão 8.4.10 ou posterior.
Para as versões 8.5 a 8.5.9, atualize para a versão 8.5.9 ou posterior.
Como solução alternativa temporária, considere desativar o login via OAuth na instância do Grafana ou certifique-se de que todos os usuários autorizados a fazer login via OAuth tenham uma conta de usuário correspondente no Grafana vinculada ao seu endereço de e-mail.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Grafana
Red Hat
Red Os
Rocky Linux
Suse