Vulnerabilidad en Grafana (CVE-2022-36062)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/09/2022
Última modificación:
16/02/2023
Descripción
Grafana es una plataforma de código abierto para la monitorización y la observación. En versiones anteriores a 8.5.13, 9.0.9 y 9.1.6, Grafana está sujeta a una Preservación inapropiada de Permisos, lo que resulta en una escalada de privilegios en algunas carpetas donde Admin es el único permiso usado. La vulnerabilidad afecta a las instancias de Grafana en las que se deshabilitó RBAC y se habilitó después, ya que las migraciones que traducen los permisos de carpetas heredadas a permisos RBAC no tienen en cuenta el escenario en el que el único permiso de usuario en la carpeta es Admin, como resultado RBAC añade permisos para Editores y Visualizadores que les permiten editar y ver carpetas en consecuencia. Este problema ha sido parcheado en las versiones 8.5.13, 9.0.9 y 9.1.6. Una solución cuando se conoce la carpeta/el tablero afectado es eliminar los permisos adicionales manualmente
Impacto
Puntuación base 3.x
3.80
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 8.5.13 (excluyendo) | |
| cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 9.0.0 (incluyendo) | 9.0.9 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* | 9.1.0 (incluyendo) | 9.1.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página