PT-2022-7308 · Grafana+6 · Grafana+6

Publicado

2022-10-13

·

Atualizado

2025-09-29

·

CVE-2022-39229

CVSS v4.0

5.1

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 9.1.8 e à 8.5.14
Descrição
O problema está relacionado ao registro do endereço de e-mail de outra pessoa como nome de usuário, permitindo que um usuário bloqueie a tentativa de login de outro usuário. O nome de usuário e o endereço de e-mail de um usuário do Grafana são campos exclusivos. O sistema de login permite que os usuários façam login com o nome de usuário ou com o endereço de e-mail, criando um comportamento incomum em que um usuário pode se registrar com um endereço de e-mail e outro usuário pode registrar seu nome de usuário como o endereço de e-mail do primeiro usuário, impedindo que o primeiro usuário faça login.
Recomendações
Para versões anteriores à 9.1.8, atualize para a versão 9.1.8 ou posterior.
Para versões anteriores à 8.5.14, atualize para a versão 8.5.14 ou posterior.
No momento, não há soluções alternativas para este problema.

Exploit

Correção

DoS

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287

Identificadores relacionados

ALSA-2023:2167
ALSA-2023:2784
ALSA-2023_2784
ALSA-2025_16880
ALT-PU-2022-3295
ALT-PU-2023-1161
ALT-PU-2023-4567
BDU:2024-02618
BIT-GRAFANA-2022-39229
CESA-2023_2784
CVE-2022-39229
ECHO-C528-9209-BF9C
GHSA-GJ7M-853R-289R
GO-2024-2848
OESA-2024-2260
OPENSUSE-SU-2023_0353-1
OPENSUSE-SU-2023_0362-1
OPENSUSE-SU-2024:12508-1
RHSA-2023:2167
RHSA-2023:2784
RHSA-2023_2167
RHSA-2023_2784
SUSE-SU-2023:0352-1
SUSE-SU-2023:0353-1
SUSE-SU-2023:0362-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1

Produtos afetados

Alt Linux
Almalinux
Centos
Grafana
Red Hat
Red Os
Suse