PT-2022-7314 · Grafana+1 · Grafana+1

Publicado

2022-11-08

·

Atualizado

2024-06-05

·

CVE-2022-39328

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 9.2.0 a 9.2.3 do Grafana
Descrição
O Grafana é uma plataforma de código aberto para monitoramento e observabilidade. O problema está relacionado a uma condição de corrida na lógica dos middlewares de autenticação, o que pode permitir que um usuário não autenticado consulte um endpoint de administração sob carga pesada. Isso poderia permitir que um invasor remoto elevasse seus privilégios. Não há soluções alternativas conhecidas para este problema.
Recomendações
Para as versões 9.2.0 a 9.2.3, atualize para a versão 9.2.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos endpoints de administração para minimizar o risco de exploração.

Exploit

Correção

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362

Identificadores relacionados

BDU:2024-02627
BIT-GRAFANA-2022-39328
CVE-2022-39328
GHSA-VQC4-MPJ8-JXCH
GO-2024-2856
RHSA-2023:6420

Produtos afetados

Grafana
Red Os