1、产品描述：

Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。

2、影响产品或组件及版本：

github.com/grafana/grafana@[9.2.0, 9.2.4)

3、受影响资产情况：

通过Fofa搜索到，全网使用Grafana产品共计314,093，其中排名第一的为美国：72,526，排名第二的为中国：43,975，排名第三的为德国：34,808

4、受影响资产列表：

无详细资产列表。

5、利用过程及结果：

无

6、技术细节表述：

Grafana 的受影响版本在身份验证中间件逻辑中具有竞争条件（共享资源并发执行）漏洞，“HTTP context creation”中的竞争条件会使 HTTP 请求被分配到另一个调用的身份验证/授权的中间件。在高负载情况下，未经身份验证的攻击者可利用此漏洞查询受保护的任意端点，从而获取系统敏感信息进行权限升级。

7、修补措施：

将组件 github.com/grafana/grafana 升级至 9.2.4 及以上版本

8、检测规则：

无

9、漏洞来源：

https://www.oscs1024.com/hd/MPS-2022-63988

https://github.com/grafana/grafana/security/advisories/GHSA-vqc4-mpj8-jxch

https://nvd.nist.gov/vuln/detail/CVE-2022-39328