PT-2024-2049 · Grafana+1 · Grafana+1
Publicado
2024-03-06
·
Atualizado
2025-03-11
·
CVE-2024-1442
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à 9.5.7
Versões do Grafana 10.0.0 a 10.0.11
Versões do Grafana 10.1.0 a 10.1.7
Versões do Grafana 10.2.0 a 10.2.4
Versões do Grafana 10.3.0 a 10.3.3
Descrição
O problema está relacionado ao gerenciamento inseguro de privilégios na API do Grafana. Um usuário com permissões para criar uma fonte de dados pode explorar essa vulnerabilidade criando uma fonte de dados com o UID definido como *, o que lhe concede acesso para ler, consultar, editar e excluir todas as fontes de dados dentro da organização. Isso pode permitir que um invasor obtenha acesso não autorizado a funções restritas.
Recomendações
Para versões do Grafana anteriores à 9.5.7, atualize para a versão 9.5.7 ou posterior.
Para versões do Grafana 10.0.0 a 10.0.11, atualize para a versão 10.0.12 ou posterior.
Para as versões do Grafana 10.1.0 a 10.1.7, atualize para a versão 10.1.8 ou posterior.
Para as versões do Grafana 10.2.0 a 10.2.4, atualize para a versão 10.2.5 ou posterior.
Para as versões do Grafana 10.3.0 a 10.3.3, atualize para a versão 10.3.4 ou posterior.
Como solução alternativa temporária, considere restringir o acesso à API do Grafana para minimizar o risco de exploração. Evite conceder permissões para criar fontes de dados a usuários que não deveriam ter acesso a todas as fontes de dados.
Correção
Improper Access Control
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Grafana
Red Os