PT-2022-7303 · Grafana+7 · Grafana+7

Abrahack

+1

·

Publicado

2022-02-08

·

Atualizado

2025-09-29

·

CVE-2022-21703

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à versão corrigida
Descrição
O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que permite que invasores elevem seus privilégios ao lançar ataques entre origens contra usuários autenticados do Grafana com privilégios elevados, como Editores ou Administradores. Um invasor pode explorar essa vulnerabilidade para escalar privilégios, induzindo um usuário autenticado a convidá-lo como um novo usuário com privilégios elevados.
Recomendações
Atualize para uma versão que contenha uma correção para este problema o mais rápido possível.
Como solução temporária, considere restringir a capacidade dos usuários autenticados de convidar novos usuários com privilégios elevados até que um patch esteja disponível.
Evite usar recursos que permitam convidar novos usuários com privilégios elevados nas versões afetadas do Grafana até que o problema seja resolvido.

Exploit

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-352

Identificadores relacionados

ALSA-2022:7519
ALSA-2022:8057
ALSA-2025_16880
ALT-PU-2022-1806
ALT-PU-2022-1820
ALT-PU-2023-4567
BDU:2024-02597
BIT-GRAFANA-2022-21703
CESA-2022_7519
CVE-2022-21703
GHSA-CMF4-H3XC-JW8W
OESA-2022-1688
OPENSUSE-SU-2022_1396-1
OPENSUSE-SU-2022_3765-1
OPENSUSE-SU-2024:11836-1
RHSA-2022:7519
RHSA-2022:8057
RHSA-2022_7519
RHSA-2022_8057
RLSA-2022:7519
RLSA-2022:8057
SUSE-FU-2022:1419-1
SUSE-SU-2022:0751-1
SUSE-SU-2022:1396-1
SUSE-SU-2022:2134-1
SUSE-SU-2022:3676-1
SUSE-SU-2022:3765-1
SUSE-SU-2024:0191-1

Produtos afetados

Alt Linux
Almalinux
Centos
Grafana
Red Hat
Red Os
Rocky Linux
Suse