Des chercheurs de l’équipe HTTPVoid ont découvert une vulnérabilité qui pourrait permettre à un acteur de la menace de prendre le contrôle d'un compte administrateur dans Grafana (une application web open source multiplateforme d'analyse et de visualisation interactive).

La faille de sécurité, suivie sous le nom de CVE-2022-31107, pourrait permettre à un attaquant d'accéder au compte d'un autre utilisateur sur la plateforme d'analyse.

Le bogue réside dans la fonction de connexion de la plateforme qui utilise le protocole d’authentification ‘OAuth’, et il ouvre la porte aux attaquants pour élever leurs privilèges par le biais d'attaques croisées contre les administrateurs sur les systèmes exécutant des versions vulnérables.

Cette attaque nécessite que l’utilisateur malveillant ait l'autorisation de se connecter à une instance Grafana via un identifiant OAuth configuré qui fournit un nom de connexion permettant de prendre le contrôle d’un autre compte.

La vulnérabilité, présente dans les versions 5.3 à 9.0.3, 8.5.9, 8.4.10 et 8.3.10, a été corrigée par Grafana dans les versions 9.0.3, 8.5.9, 8.4.10 et 8.3.10.

"Comme solution de contournement, les utilisateurs concernés peuvent désactiver la connexion OAuth à leur instance Grafana, ou s'assurer que tous les utilisateurs autorisés à se connecter via OAuth ont un compte utilisateur correspondant dans Grafana lié à leur adresse e-mail", ajoutent les chercheurs.