PT-2022-7307 · Grafana+5 · Grafana+5

Publicado

2022-11-08

·

Atualizado

2025-09-29

·

CVE-2022-39306

CVSS v2.0

9.4

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 9.2.4
Versões do Grafana de 8.0.0 a 8.5.14
Descrição
O problema está relacionado à validação inadequada de entradas no Grafana, permitindo que os usuários se cadastrem com qualquer nome de usuário ou endereço de e-mail escolhido quando um link de convite é enviado. Isso pode ser explorado com intenção maliciosa, potencialmente contornando as restrições de segurança existentes. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.
Recomendações
Para versões anteriores à 9.2.4, atualize para a versão 9.2.4 ou posterior.
Para as versões 8.0.0 a 8.5.14, atualize para a versão 8.5.15 ou posterior.
Como solução temporária, considere restringir a capacidade dos usuários de se cadastrarem com nomes de usuário ou endereços de e-mail arbitrários quando um link de convite é enviado, até que um patch esteja disponível.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALSA-2023:6420
ALSA-2025_16880
ALT-PU-2022-3295
ALT-PU-2023-1161
ALT-PU-2023-4567
BDU:2024-02617
BIT-GRAFANA-2022-39306
CVE-2022-39306
GHSA-2X6G-H2HG-RQ84
GO-2024-2843
OESA-2025-1186
OESA-2025-1187
OESA-2025-1188
OESA-2025-1189
OPENSUSE-SU-2023_0353-1
OPENSUSE-SU-2023_0362-1
OPENSUSE-SU-2024:12564-1
RHSA-2023:6420
RHSA-2023_6420
SUSE-SU-2023:0352-1
SUSE-SU-2023:0353-1
SUSE-SU-2023:0362-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1

Produtos afetados

Alt Linux
Almalinux
Grafana
Red Hat
Red Os
Suse