行业新闻

高危 | Grafana权限提升漏洞

高危 | Grafana权限提升漏洞

0x01

漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

未知

未知

未知

0x02

漏洞描述

Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。

Grafana中存在一个权限提升漏洞。漏洞编号:CVE-2022-24812,漏洞威胁等级:高危,漏洞评分:8.0。

Grafana权限提升漏洞

Grafana权限提升漏洞

漏洞编号

CVE-2022-24812

漏洞类型

权限提升

漏洞等级

高危(8.0)

公开状态

未知

在野利用

未知

漏洞描述

当启用细粒度访问控制并且客户端使用 Grafana API 密钥发出请求时,该 API 密钥的权限将为给定组织缓存 30 秒。由于缓存 ID 的构造方式,具有任何 API 密钥的后续请求评估为与先前请求相同的权限,这可能会导致权限升级。

0x03

漏洞等级

高危(8.0)

0x04

影响版本

Grafana 8.1.0-beta1 - 8.4.5

0x05

修复建议

厂商已发布补丁修复漏洞,用户请尽快更新至安全版本。

8.4.6

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

关闭