Vulnerabilidad en Grafana (CVE-2023-4822)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
16/10/2023
Última modificación:
13/02/2025
Descripción
Grafana es una plataforma de código abierto para monitorización y observabilidad. La vulnerabilidad afecta las instancias de Grafana con varias organizaciones y permite a un usuario con permisos de Organization Admin en una organización cambiar los permisos asociados con los roles de Organization Viewer, Organization Editor and Organization Admin en todas las organizaciones. También permite que un Organization Admin asigne o revoque cualquier permiso que tenga para cualquier usuario a nivel mundial. Esto significa que cualquier Organization Admin puede elevar sus propios permisos en cualquier organización de la que ya sea miembro, y elevar o restringir los permisos de cualquier otro usuario. La vulnerabilidad no permite que un usuario se convierta en miembro de una organización de la que aún no es miembro, ni agregue otros usuarios a una organización de la que el usuario actual no es miembro.
Impacto
Puntuación base 3.x
6.70
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:grafana:grafana:*:*:*:*:enterprise:*:*:* | 8.0.0 (incluyendo) | 9.4.16 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:enterprise:*:*:* | 9.5.0 (incluyendo) | 9.5.11 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:enterprise:*:*:* | 10.0.0 (incluyendo) | 10.0.7 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:enterprise:*:*:* | 10.1.0 (incluyendo) | 10.1.3 (excluyendo) |
| cpe:2.3:a:grafana:grafana:10.1.4:*:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página