漏洞标题
N/A
漏洞描述信息
如果用户或服务帐户被授予访问其他任何数据源的权限,那么由plugin.json中的ReqActions json字段保护的插件数据源的访问控制就会被绕过,因为ReqActions检查没有针对每个特定数据源进行限定。该帐户必须事先具有对受影响数据源的查询访问权限。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
授权机制不正确
漏洞标题
N/A
漏洞描述信息
Access control for plugin data sources protected by the ReqActions json field of the plugin.json is bypassed if the user or service account is granted associated access to any other data source, as the ReqActions check was not scoped to each specific datasource. The account must have prior query access to the impacted datasource.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:N/I:L/A:L
漏洞类别
特权授予不正确
漏洞标题
Grafana 安全漏洞
漏洞描述信息
Grafana是Grafana开源的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。 Grafana存在安全漏洞,该漏洞源于如果用户或服务帐户被授予对任何其他数据源的关联访问权限,则数据源的访问控制将被绕过。
CVSS信息
N/A
漏洞类别
其他