Grafana
Уязвимости
49
Эксплуатируемые
2
Макс. CVSS
9.1
Макс. EPSS
0.99951
Распределение по критичности
Критический
1
Высокий
14
Средний
34
Низкий
0
Также сопоставлено как (исходные строки): grafana
Топ уязвимостей
CVE-2021-41244Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости. В затронутых версиях, когда включена бета-функция детального контроля доступа и в экземпляре Grafana имеется более одной организации, администраторы могут получать доступ к пользователям из других организаций. Grafana 8.0 представила механизм, который позволял пользователям с ролью администратора организации перечислять, добавлять, удалять и обновлять роли пользователей в других организациях, в которых они не являются администраторами. С включенным детальным контролем доступа администраторы организаций могут перечислять, добавлять, удалять и обновлять роли пользователей в другой организации, где у них нет роли администратора организации. Все установки между v8.0 и v8.2.3, на которых включена бета-версия детального контроля доступа и имеется более одной организации, должны быть обновлены как можно скорее. Если вы не можете выполнить обновление, вам следует отключить детальный контроль доступа с помощью флага функции.
CVE-2022-23498Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Когда включено кэширование запросов источника данных, Grafana кэширует все заголовки, включая `grafana_session`. В результате любой пользователь, запрашивающий источник данных, для которого включено кэширование, может получить сеанс другого пользователя. Чтобы снизить уязвимость, можно отключить кэширование запросов источника данных для всех источников данных. Эта проблема была исправлена в версиях 9.2.10 и 9.3.4.
CVE-2020-13379Функция аватара в Grafana 3.0.1–7.0.1 имеет проблему с неправильным контролем доступа SSRF. Эта уязвимость позволяет любому не прошедшему проверку подлинности пользователю/клиенту заставлять Grafana отправлять HTTP-запросы по любому URL-адресу и возвращать результат пользователю/клиенту. Это можно использовать для получения информации о сети, в которой работает Grafana. Кроме того, передача недействительных объектов URL может использоваться для DOS'ing Grafana через SegFault.
CVE-2022-39328Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Версии, начиная с 9.2.0 и заканчивая 9.2.4, содержат состояние гонки в логике промежуточного программного обеспечения аутентификации, которое может позволить неаутентифицированному пользователю запрашивать конечную точку администрирования при высокой нагрузке. Эта проблема исправлена в версии 9.2.4. Обходных путей решения проблемы не существует.
CVE-2022-39306Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Версии до 9.2.4 или 8.5.15 в ветке 8.X подвержены неправильной проверке ввода. Администраторы Grafana могут приглашать других членов в организацию, администраторами которой они являются. Когда администраторы добавляют членов в организацию, несуществующие пользователи получают приглашение по электронной почте, существующие члены добавляются непосредственно в организацию. Когда отправляется ссылка-приглашение, она позволяет пользователям регистрироваться с любым именем пользователя/адресом электронной почты, которые выберет пользователь, и становиться членом организации. Это создает уязвимость, которая может быть использована со злым умыслом. Эта проблема исправлена в версии 9.2.4 и перенесена в версию 8.5.15. Известных обходных путей нет.
CVE-2022-24812Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Когда включен точный контроль доступа и клиент использует ключ API Grafana для отправки запросов, разрешения для этого ключа API кэшируются в течение 30 секунд для данной организации. Из-за того, как построен идентификатор кэша, последующие запросы с любым ключом API оцениваются с теми же разрешениями, что и предыдущие запросы. Это может привести к повышению привилегий, когда, например, первый запрос отправляется с разрешениями администратора, а второй запрос с другим ключом API отправляется с разрешениями Viewer, второй запрос получит кэшированные разрешения от предыдущего администратора, по сути, получив доступ к более высоким привилегиям, чем должен. Уязвимость затрагивает только Grafana Enterprise, когда включена бета-функция точного контроля доступа и в одной организации имеется более одного ключа API с разными назначенными ролями. Все установки после Grafana Enterprise v8.1.0-beta1 следует обновить как можно скорее. В качестве альтернативы отключение точного контроля доступа позволит снизить уязвимость.
CVE-2023-2801Grafana – это платформа с открытым исходным кодом для мониторинга и наблюдения.
Используя публичные панели управления, пользователи могут запрашивать несколько разных источников данных с помощью смешанных запросов. Однако такой запрос может привести к сбою экземпляра Grafana.
Единственная функциональность, которая в данный момент использует смешанные запросы, – это публичные панели управления, но также можно вызвать это, обратившись непосредственно к API запросов.
Это может позволить злоумышленникам ухудшить работу экземпляров Grafana через эту конечную точку.
Пользователи могут обновиться до версии 9.4.12 и 9.5.3, чтобы получить исправление.
CVE-2023-1387Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдения.
Начиная с ветки 9.1, Grafana внедрила возможность искать JWT в параметре URL-форма auth_token и использовать его в качестве токена аутентификации.
Включив опцию конфигурации "url_login" (по умолчанию она отключена), JWT может быть отправлен источникам данных. Если злоумышленник имеет доступ к источнику данных, скомпрометированный токен может быть использован для аутентификации в Grafana.
CVE-2022-31130Grafana — это платформа с открытым исходным кодом для обеспечения наблюдаемости и визуализации данных. Версии Grafana для конечных точек до 9.1.8 и 8.5.14 могут привести к утечке токенов аутентификации в некоторые целевые плагины при определенных условиях. Уязвимость влияет на источник данных и конечные точки прокси-сервера плагина с токенами аутентификации. Целевой плагин может получить токен аутентификации Grafana пользователя. Версии 9.1.8 и 8.5.14 содержат исправление для этой проблемы. В качестве обходного решения не используйте ключи API, аутентификацию JWT или любую аутентификацию на основе заголовков HTTP.
CVE-2022-23552Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдения. Начиная с ветки 8.1 и до версий 8.5.16, 9.2.10 и 9.3.4, в Grafana была уязвимость сохраненного XSS, влияющая на основной плагин GeoMap. Уязвимость сохраненного XSS была возможна, поскольку SVG-файлы не были должным образом очищены и позволяли выполнять произвольный JavaScript в контексте текущего авторизованного пользователя экземпляра Grafana.
Злоумышленнику необходимо иметь роль редактора, чтобы изменить панель, чтобы включить либо внешний URL-адрес SVG-файла, содержащего JavaScript, либо использовать схему `data:`, чтобы загрузить встроенный SVG-файл, содержащий JavaScript. Это означает, что возможна вертикальная эскалация привилегий, когда пользователь с ролью редактора может изменить пароль пользователя с ролью администратора на известный, если пользователь с ролью администратора выполняет вредоносный JavaScript, просматривая панель мониторинга.
Пользователи могут выполнить обновление до версии 8.5.16, 9.2.10 или 9.3.4, чтобы получить исправление.
CVE-2021-43798Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдения. Версии Grafana 8.0.0-beta1–8.3.0 (за исключением исправленных версий) уязвимы для обхода каталогов, что позволяет получить доступ к локальным файлам. Уязвимый путь URL: `<grafana_host_url>/public/plugins//`, где — это идентификатор плагина для любого установленного плагина. Grafana Cloud никогда не была уязвима. Пользователям рекомендуется обновиться до исправленных версий 8.0.7, 8.1.8, 8.2.7 или 8.3.1. Рекомендация по безопасности GitHub содержит больше информации об уязвимых путях URL, мерах по снижению риска и сроках раскрытия информации.
CVE-2021-28148Один из конечных точек HTTP API аналитики использования в Grafana Enterprise 6.x до версии 6.7.6, 7.x до версии 7.3.10 и 7.4.x до версии 7.4.5 доступен без какой-либо аутентификации. Это позволяет любому неаутентифицированному пользователю отправлять неограниченное количество запросов к конечной точке, что приводит к атаке типа "отказ в обслуживании" (DoS) против экземпляра Grafana Enterprise.
CVE-2021-27358Функция snapshot в Grafana с 6.7.3 по 7.4.1 может позволить неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании через удаленный вызов API, если установлена обычно используемая конфигурация.
CVE-2021-39226Grafana — это платформа визуализации данных с открытым исходным кодом. В затронутых версиях неаутентифицированные и аутентифицированные пользователи могут просматривать снимок с самым низким ключом базы данных, обращаясь к буквальным путям: /dashboard/snapshot/:key или /api/snapshots/:key. Если параметр конфигурации снимка "public_mode" установлен в значение true (в отличие от значения по умолчанию false), неаутентифицированные пользователи могут удалить снимок с самым низким ключом базы данных, обратившись к буквальному пути: /api/snapshots-delete/:deleteKey. Независимо от настройки "public_mode" снимка, аутентифицированные пользователи могут удалить снимок с самым низким ключом базы данных, обратившись к буквальным путям: /api/snapshots/:key или /api/snapshots-delete/:deleteKey. Комбинация удаления и просмотра обеспечивает полный проход по всем данным снимка, что приводит к полной потере данных снимка. Эта проблема была решена в версиях 8.1.6 и 7.5.11. Если по какой-либо причине вы не можете обновиться, вы можете использовать обратный прокси-сервер или аналогичный, чтобы заблокировать доступ к буквальным путям: /api/snapshots/:key, /api/snapshots-delete/:deleteKey, /dashboard/snapshot/:key и /api/snapshots/:key. У них нет нормальной функции, и их можно отключить без побочных эффектов.
CVE-2023-4399Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости.
В Grafana Enterprise безопасность запросов представляет собой черный список, который позволяет администраторам настраивать Grafana так, чтобы экземпляр не вызывал конкретные хосты.
Однако это ограничение может быть обойденно с использованием кодирования punycode символов в адресе запроса.
CVE-2022-39201Grafana - это платформа с открытым исходным кодом для наблюдения и визуализации данных. Начиная с версии 5.0.0-beta1 и до версий 8.5.14 и 9.1.8, Grafana могла раскрывать файлы cookie аутентификации пользователей плагинам. Уязвимость затрагивает конечные точки прокси-сервера источника данных и плагина при определенных условиях. Целевой плагин может получить файлы cookie аутентификации пользователя Grafana. Версии 9.1.8 и 8.5.14 содержат исправление для этой проблемы. Известных обходных путей нет.
CVE-2021-28147HTTP API синхронизации команд в Grafana Enterprise 6.x до версии 6.7.6, 7.x до версии 7.3.10 и 7.4.x до версии 7.4.5 имеет проблему неправильного контроля доступа. На экземплярах Grafana, использующих внешнюю службу аутентификации и имеющих включенную функцию EditorsCanAdmin, эта уязвимость позволяет любому аутентифицированному пользователю добавлять внешние группы в любую существующую команду. Это можно использовать для предоставления пользователю разрешений команды, которые он не должен иметь.
CVE-2021-28146HTTP API синхронизации команд в Grafana Enterprise 7.4.x до версии 7.4.5 имеет проблему неправильного контроля доступа. На экземплярах Grafana, использующих внешнюю службу аутентификации, эта уязвимость позволяет любому аутентифицированному пользователю добавлять внешние группы в существующие команды. Это можно использовать для предоставления пользователю разрешений команды, которые он не должен иметь.
CVE-2021-27962Grafana Enterprise 7.2.x и 7.3.x до 7.3.10 и 7.4.x до 7.4.5 позволяют редактору панели управления обходить проверку разрешений, касающуюся источника данных, к которому у него не должно быть доступа.
CVE-2018-12099Grafana до версии 5.2.0-beta1 имеет XSS-уязвимости в ссылках на панели мониторинга.
CVE-2023-4822Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдения. Уязвимость затрагивает экземпляры Grafana с несколькими организациями и позволяет пользователю с правами администратора организации в одной организации изменять права, связанные с ролями Организационный Просмотрщик, Организационный Редактор и Организационный Администратор во всех организациях.
Это также позволяет администратору организации назначать или отзывать любые права, которые он имеет, любому пользователю глобально.
Это означает, что любой администратор организации может повысить свои собственные права в любой организации, членом которой он уже является, или повысить или ограничить права любого другого пользователя.
Уязвимость не позволяет пользователю стать членом организации, членом которой он еще не является, или добавлять любых других пользователей в организацию, членом которой текущий пользователь не является.
CVE-2022-39324Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдаемости. До версий 8.5.16 и 9.2.8 вредоносный пользователь может создать снимок и произвольно выбрать параметр `originalUrl`, отредактировав запрос, благодаря веб-прокси. Когда другой пользователь открывает URL-адрес снимка, ему будет представлен обычный веб-интерфейс, предоставляемый доверенным сервером Grafana. Кнопка `Open original dashboard` больше не указывает на реальную исходную панель управления, а на внедренный злоумышленником URL-адрес. Эта проблема устранена в версиях 8.5.16 и 9.2.8.
CVE-2022-35957Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Версии до 9.1.6 и 8.5.13 уязвимы для повышения привилегий от администратора до администратора сервера при использовании auth proxy, что позволяет администратору захватить учетную запись администратора сервера и получить полный контроль над экземпляром grafana. Все установки должны быть обновлены как можно скорее. В качестве обходного пути деактивируйте auth proxy, следуя инструкциям по адресу: https://grafana.com/docs/grafana/latest/setup-grafana/configure-security/configure-authentication/auth-proxy/
CVE-2019-19499Grafana <= 6.4.3 имеет уязвимость произвольного чтения файлов, которую может использовать аутентифицированный злоумышленник, имеющий привилегии для изменения конфигураций источника данных.
CVE-2018-19039Grafana до 4.6.5 и 5.x до 5.3.3 позволяет удаленным аутентифицированным пользователям читать произвольные файлы, используя разрешения Editor или Admin.