Уязвимость CVE-2022-35957: Информация

Описание

Grafana is an open-source platform for monitoring and observability. Versions prior to 9.1.6 and 8.5.13 are vulnerable to an escalation from admin to server admin when auth proxy is used, allowing an admin to take over the server admin account and gain full control of the grafana instance. All installations should be upgraded as soon as possible. As a workaround deactivate auth proxy following the instructions at: https://grafana.com/docs/grafana/latest/setup-grafana/configure-security/configure-authentication/auth-proxy/

Важность: MEDIUM (6,6) Вектор: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

URL: https://nvd.nist.gov/vuln/detail/CVE-2022-35957

Опубликовано: 21 сентября 2022 г.

Изменено: 7 ноября 2023 г.

Идентификатор типа ошибки: CWE-290

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
grafana	sisyphus	9.3.1-alt1	10.2.2-alt1.1	ALT-PU-2022-3295-1	311333	Исправлено
grafana	p10	8.5.20-alt1	10.2.2-alt1.1	ALT-PU-2023-1161-1	314152	Исправлено
grafana	c10f1	9.5.5-alt1	9.5.5-alt1	ALT-PU-2023-4346-2	324663	Исправлено
grafana	c9f2	9.5.5-alt1	9.5.5-alt1	ALT-PU-2023-4567-3	323137	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
https://github.com/grafana/grafana/security/advisories/GHSA-ff5c-938w-8c9q	Vendor Advisory
https://security.netapp.com/advisory/ntap-20221215-0001/	Third Party Advisory
FEDORA-2022-2eb4418018

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
  Start including
  9.1.0
  End excliding
  9.1.6
  cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
  Start including
  9.0.0
  End excliding
  9.0.9
  cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
  End excliding
  8.5.13
  
  Конфигурация 2
  cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*

Версия: v24.5.0

Наверх

Уязвимость CVE-2022-35957: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1

Конфигурация 2