PT-2022-7302 · Grafana+7 · Grafana+7
Kminehart
+1
·
Publicado
2022-01-18
·
Atualizado
2025-09-29
·
CVE-2022-21673
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 7.5.13
Versões do Grafana anteriores à 8.3.4
Descrição
O problema está relacionado ao recurso Forward OAuth Identity no Grafana, que pode permitir que detentores de tokens de API recuperem dados aos quais talvez não tenham acesso autorizado. Isso ocorre quando uma fonte de dados tem o recurso Forward OAuth Identity ativado e uma consulta é enviada a essa fonte de dados com um token de API e sem outras credenciais de usuário, encaminhando a identidade OAuth do usuário que fez login mais recentemente. O ataque depende de condições específicas, incluindo a presença de fontes de dados que suportem o recurso Forward OAuth Identity, o recurso estar ativado para uma fonte de dados, o OAuth estar habilitado e a presença de chaves de API utilizáveis.
Recomendações
Para versões anteriores à 7.5.13, atualize para a versão 7.5.13 ou posterior.
Para versões anteriores à 8.3.4, atualize para a versão 8.3.4 ou posterior.
Como solução alternativa temporária, considere desativar o recurso “Forward OAuth Identity” para todas as fontes de dados até que um patch seja aplicado.
Restrinja o acesso a fontes de dados que suportam o recurso “Forward OAuth Identity” para minimizar o risco de exploração.
Evite usar tokens de API para consultas a fontes de dados com o recurso “Forward OAuth Identity” ativado até que o problema seja resolvido.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Grafana
Red Hat
Red Os
Rocky Linux
Suse