CVE-2022-44643 – Access policy with access to all tenants and using label selectors has more access
https://notcve.org/view.php?id=CVE-2022-44643
A vulnerability in the label-based access control of Grafana Labs Grafana Enterprise Metrics allows an attacker more access than intended. If an access policy which has label selector restrictions also has been granted access to all tenants in the system, the label selector restrictions will not be applied when using this policy with the affected versions of the software. This issue affects: Grafana Labs Grafana Enterprise Metrics GEM 1.X versions prior to 1.7.1 on AMD64; GEM 2.X versions prior to 2.3.1 on AMD64. Una vulnerabilidad en el control de acceso basado en etiquetas de Grafana Labs Grafana Enterprise Metrics permite a un atacante tener más acceso del previsto. Si a una política de acceso que tiene restricciones del selector de etiquetas también se le ha otorgado acceso a todos los inquilinos del sistema, las restricciones del selector de etiquetas no se aplicarán cuando se use esta política con las versiones afectadas del software. • https://grafana.com/docs/enterprise-metrics/v2.4.x/downloads/#v171----november-14th-2022 https://grafana.com/docs/enterprise-metrics/v2.4.x/downloads/#v231----november-14th-2022 •
CVE-2021-31231
https://notcve.org/view.php?id=CVE-2021-31231
The Alertmanager in Grafana Enterprise Metrics before 1.2.1 and Metrics Enterprise 1.2.1 has a local file disclosure vulnerability when experimental.alertmanager.enable-api is used. The HTTP basic auth password_file can be used as an attack vector to send any file content via a webhook. The alertmanager templates can be used as an attack vector to send any file content because the alertmanager can load any text file specified in the templates list. Alertmanager en Grafana Enterprise Metrics versiones anteriores a 1.2.1 y Metrics Enterprise versión1.2.1, presenta una vulnerabilidad de divulgación de archivos locales cuando es usado experimental.alertmanager.enable-api. El archivo de contraseña de autenticación básica HTTP se puede usar como un vector de ataque para enviar cualquier contenido de archivo por medio de un webhook. • https://community.grafana.com/c/security-announcements https://grafana.com/docs/metrics-enterprise https://grafana.com/docs/metrics-enterprise/latest/downloads/#v113----april-27-2021 https://grafana.com/docs/metrics-enterprise/latest/downloads/#v121----april-27-2021 https://security.netapp.com/advisory/ntap-20210611-0001 •