PT-2022-7304 · Grafana+3 · Grafana Enterprise+4
Xlson
·
Publicado
2022-05-20
·
Atualizado
2025-09-29
·
CVE-2022-29170
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Grafana Enterprise 7.4.0-beta1 a 7.5.15
Versões do Grafana Enterprise 8.0.0 a 8.5.2
Descrição
O problema está relacionado ao recurso de segurança de solicitações do Grafana Enterprise, que permite configurar a instância para chamar apenas hosts específicos. No entanto, uma fonte de dados maliciosa em execução em um host permitido pode contornar essas configurações de segurança retornando um redirecionamento HTTP para um host proibido. Isso pode potencialmente revelar informações confidenciais aos clientes. A vulnerabilidade afeta apenas o Grafana Enterprise quando a lista de permissões de segurança de solicitações é usada e há a possibilidade de adicionar uma fonte de dados personalizada que retorne redirecionamentos HTTP.
Recomendações
Para as versões 7.4.0-beta1 a 7.5.15 do Grafana Enterprise, atualize para a versão 7.5.16 ou posterior.
Para as versões 8.0.0 a 8.5.2 do Grafana Enterprise, atualize para a versão 8.5.3 ou posterior.
Como solução alternativa temporária, considere restringir a adição de fontes de dados personalizadas para minimizar o risco de exploração.
Evite usar o recurso Lista de permissões de segurança de solicitação até que o problema seja resolvido.
Exploit
Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Grafana
Grafana Enterprise
Red Os
Suse