PT-2022-7309 · Grafana+5 · Grafana+5

Publicado

2022-10-13

·

Atualizado

2025-09-29

·

CVE-2022-39201

CVSS v4.0

8.5

Alta

VetorAV:N/AC:L/AT:N/PR:H/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Grafana 5.0.0-beta1 a 8.5.13
Versões do Grafana 9.0.0 a 9.1.7
Descrição
O problema está relacionado à transmissão de cookies de autenticação do usuário para plug-ins, permitindo potencialmente que um invasor remoto divulgue informações protegidas. Isso afeta pontos de extremidade de fontes de dados e proxies de plug-ins sob certas condições, nas quais o plug-in de destino poderia receber o cookie de autenticação do Grafana de um usuário.
Recomendações
Para as versões do Grafana 5.0.0-beta1 a 8.5.13, atualize para a versão 8.5.14 para resolver o problema.
Para as versões do Grafana 9.0.0 a 9.1.7, atualize para a versão 9.1.8 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade de fontes de dados e proxies de plug-ins para minimizar o risco de exploração.

Exploit

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

ALSA-2023:6420
ALSA-2025_16880
ALT-PU-2022-3295
ALT-PU-2023-1161
ALT-PU-2023-4567
BDU:2024-02619
BIT-GRAFANA-2022-39201
CVE-2022-39201
GHSA-X744-MM8V-VPGR
GO-2024-2858
OESA-2025-1186
OESA-2025-1187
OESA-2025-1188
OESA-2025-1189
OPENSUSE-SU-2023_0353-1
OPENSUSE-SU-2023_0362-1
OPENSUSE-SU-2024:12508-1
RHSA-2023:6420
RHSA-2023_6420
SUSE-SU-2023:0352-1
SUSE-SU-2023:0353-1
SUSE-SU-2023:0362-1
SUSE-SU-2024:0191-1
SUSE-SU-2024:0196-1

Produtos afetados

Alt Linux
Almalinux
Grafana
Red Hat
Red Os
Suse