Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Когда включен точный контроль доступа и клиент используе…

Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Когда включен точный контроль доступа и клиент использует ключ API Grafana для отправки запросов, разрешения для этого ключа API кэшируются в течение 30 секунд для данной организации. Из-за того, как построен идентификатор кэша, последующие запросы с любым ключом API оцениваются с теми же разрешениями, что и предыдущие запросы. Это может привести к повышению привилегий, когда, например, первый запрос отправляется с разрешениями администратора, а второй запрос с другим ключом API отправляется с разрешениями Viewer, второй запрос получит кэшированные разрешения от предыдущего администратора, по сути, получив доступ к более высоким привилегиям, чем должен. Уязвимость затрагивает только Grafana Enterprise, когда включена бета-функция точного контроля доступа и в одной организации имеется более одного ключа API с разными назначенными ролями. Все установки после Grafana Enterprise v8.1.0-beta1 следует обновить как можно скорее. В качестве альтернативы отключение точного контроля доступа позволит снизить уязвимость.