漏洞描述
Grafana 是一个用于监控和可观察性的开源平台。
当使用 Authproxy 进行身份验证时,该漏洞允许攻击者从管理员权限升级到服务管理员。(在 Authproxy 功能中允许仅通过在 X-WEBAUTH-USER HTTP 标头中提供用户名(或电子邮件)来对用户进行身份验证即前端代理负责身份验证,并且只有使用此前端代理才能公开访问 Grafana 服务器。)
| 漏洞名称 | grafana 权限提升漏洞 |
|---|---|
| 漏洞类型 | 使用欺骗进行的认证绕过 |
| 发现时间 | 2022/9/21 |
| 漏洞影响广度 | 一般 |
| MPS 编号 | MPS-2022-51471 |
| CVE 编号 | CVE-2022-35957 |
| CNVD 编号 | - |
影响范围
github.com/grafana/grafana @[9.1.0, 9.1.6)
github.com/grafana/grafana @[1.0.0, 8.5.13)
github.com/grafana/grafana @[9.0.0, 9.0.9)
修复方案
升级 github.com/grafana/grafana 到 8.5.13、9.0.9、9.1.6 或更高版本
为您推荐与 grafana 相关的帖子:
暂无回复。
