Gebruikers van Grafana met toestemming om een databron te maken, kunnen alle databronnen CRUD'en in github.com/grafana/grafana

Deze kwetsbaarheid stelt een aanvaller die de mogelijkheid heeft om een data source te creëren, in staat om alle data sources binnen de Grafana-installatie te beheren (CRUD - Create, Read, Update, Delete). Dit omvat het wijzigen van bestaande data sources, het toevoegen van kwaadaardige data sources, of het volledig verwijderen van essentiële data sources. Het resultaat kan variëren van verlies van data visualisatie tot volledige verstoring van de monitoring-omgeving. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot onderliggende databases of andere databronnen, afhankelijk van de configuratie van de data sources. Dit kan de vertrouwelijkheid, integriteit en beschikbaarheid van de data in gevaar brengen.

Organizations heavily reliant on Grafana for monitoring and data visualization are particularly at risk. This includes those with complex Grafana deployments involving numerous data sources and a large number of users. Shared hosting environments where multiple users share a Grafana instance are also vulnerable, as a compromised user could potentially affect all other users on the system.

• linux / server: Examine Grafana logs for suspicious data source creation attempts by users without sufficient privileges. Use journalctl -u grafana to filter for relevant events. • generic web: Monitor Grafana's access logs for unusual patterns of data source creation or modification requests. Look for requests originating from unexpected IP addresses or user agents. • database (mysql, postgresql): If Grafana connects to a database, monitor the database logs for unauthorized queries or data modifications that could be linked to Grafana's data source configurations.

1. 2024-06-05Disclosure

   disclosure

1. Gereserveerd2024-02-12
2. Gepubliceerd2024-06-05
3. Gewijzigd2026-02-04
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie is het upgraden van Grafana naar versie 9.5.7 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de permissies van gebruikers die data sources kunnen creëren, zodat ze niet in staat zijn om andere data sources te beheren. Controleer de Grafana-configuratie om te verzekeren dat de minimale benodigde permissies worden toegekend. Implementeer WAF-regels om verdachte verzoeken naar de data source API te blokkeren. Na de upgrade, bevestig de fix door te controleren of gebruikers met data source creatie permissies geen toegang meer hebben tot het beheren van andere data sources.