您好！

永信至诚报送1个漏洞预警Grafana 存在错误的共享资源并发执行漏洞-CVE-2022-39328（无关联漏洞编号）。

1、产品描述

Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。

2、影响产品或组件及版本

github.com/grafana/grafana@[9.2.0, 9.2.4)

3、受影响资产情况

通过资产测绘系统fofa发现，第一名美国，第二名中国，第三名德国。

4、危害等级

严重

5、技术细节表述

Grafana 的受影响版本在身份验证中间件逻辑中具有竞争条件（共享资源并发执行）漏洞，“HTTP context creation”中的竞争条件会使 HTTP 请求被分配到另一个调用的身份验证/授权的中间件。在高负载情况下，未经身份验证的攻击者可利用此漏洞查询受保护的任意端点，从而获取系统敏感信息进行权限升级。

6、修补措施

升级github.com/grafana/grafana到 9.2.4 或更高版本

7、漏洞来源

https://nvd.nist.gov/vuln/detail/CVE-2022-39328