PT-2022-7306 · Grafana+5 · Grafana+5

Vtorosyan

·

Publicado

2022-11-08

·

Atualizado

2025-09-29

·

CVE-2022-39307

CVSS v4.0

7.3

Alta

VetorAV:N/AC:H/AT:N/PR:L/UI:A/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 8.5.15
Versões do Grafana 9.0.0 a 9.2.3
Descrição
O Grafana é uma plataforma de código aberto para monitoramento e observabilidade. Ao usar a opção “Esqueci a senha” na página de login, é enviada uma solicitação POST para a URL “/api/user/password/sent-reset-email”. Quando o username ou o email não existe, uma resposta JSON contém a mensagem “usuário não encontrado”. Isso vaza informações para usuários não autenticados e representa um risco à segurança.
Recomendações
Para versões do Grafana anteriores à 8.5.15, atualize para a versão 8.5.15 ou posterior.
Para versões do Grafana de 9.0.0 a 9.2.3, atualize para a versão 9.2.4 ou posterior.
Como solução temporária, considere restringir o acesso ao endpoint da API /api/user/password/sent-reset-email até que um patch esteja disponível.

Exploit

Correção

Generation of Error Message Containing Sensitive Information

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-209CWE-200

Identificadores relacionados

ALSA-2023:6420
ALSA-2025_16880
ALT-PU-2022-3295
ALT-PU-2023-1161
ALT-PU-2023-4567
BDU:2024-02616
BIT-GRAFANA-2022-39307
CVE-2022-39307
ECHO-820C-CCBE-62EB
GHSA-3P62-42X7-GXG5
GO-2024-2844
OESA-2025-1186
OESA-2025-1187
OESA-2025-1188
OESA-2025-1189
OPENSUSE-SU-2023_0353-1
OPENSUSE-SU-2023_0362-1
OPENSUSE-SU-2024:12531-1
RHSA-2023:6420
RHSA-2023_6420
SUSE-SU-2023:0352-1
SUSE-SU-2023:0353-1
SUSE-SU-2023:0362-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1

Produtos afetados

Alt Linux
Almalinux
Grafana
Red Hat
Red Os
Suse