Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости. В затронутых версиях, когда включена бета-функция деталь…
Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости. В затронутых версиях, когда включена бета-функция детального контроля доступа и в экземпляре Grafana имеется более одной организации, администраторы могут получать доступ к пользователям из других организаций. Grafana 8.0 представила механизм, который позволял пользователям с ролью администратора организации перечислять, добавлять, удалять и обновлять роли пользователей в других организациях, в которых они не являются администраторами. С включенным детальным контролем доступа администраторы организаций могут перечислять, добавлять, удалять и обновлять роли пользователей в другой организации, где у них нет роли администратора организации. Все установки между v8.0 и v8.2.3, на которых включена бета-версия детального контроля доступа и имеется более одной организации, должны быть обновлены как можно скорее. Если вы не можете выполнить обновление, вам следует отключить детальный контроль доступа с помощью флага функции.
Продукт использует управляемое извне имя или ссылку, разрешающуюся в ресурс, находящийся за пределами предусмотренной сферы контроля.
https://cwe.mitre.org/data/definitions/610.html →Открыть в коллекции CWE →Продукт выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие, однако не осуществляет эту проверку корректно.
https://cwe.mitre.org/data/definitions/863.html →Открыть в коллекции CWE →Злоумышленник компрометирует промежуточную систему, используемую для обработки XML-содержимого, и принуждает её изменять и/или перенаправлять обработку содержимого. Атаки с обходом маршрутизации XML являются атаками типа «злоумышленник посередине» (CAPEC-94). Злоумышленник компрометирует или внедряет промежуточную систему в процессе обработки XML-сообщения. Например, WS-Routing может использоваться для задания ряда узлов или промежуточных элементов, через которые проходит содержимое. Если любой из промежуточных узлов в этом маршруте скомпрометирован злоумышленником, он может использоваться для атаки с обходом маршрутизации. Из скомпрометированной системы злоумышленник способен направлять XML-обработку на другие узлы по своему выбору и изменять ответы так, чтобы нормальная цепочка обработки не знала о перехвате. Данная система может пересылать сообщение внешнему объекту и скрывать пересылку и обработку от легитимных систем обработки путём изменения информации заголовка.
https://capec.mitre.org/data/definitions/219.html →Открыть в коллекции CAPEC →