{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Grafana ist eine Open-Source Analyse- und Visualisierungssoftware.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Grafana ausnutzen, um seine Privilegien zu erhöhen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- Windows\n- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2022-0403 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2021/wid-sec-w-2022-0403.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2022-0403 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0403"
    }, {
      "category" : "external",
      "summary" : "Grafana Security Advisory vom 2021-11-15",
      "url" : "https://grafana.com/blog/2021/11/15/grafana-8.2.4-released-with-security-fixes/"
    }, {
      "category" : "external",
      "summary" : "Arch Linux Security Advisory ASA-202111-6 vom 2021-11-18",
      "url" : "https://security.archlinux.org/ASA-202111-6"
    }, {
      "category" : "external",
      "summary" : "Arch Linux Security Advisory ASA-202111-6 vom 2021-11-18",
      "url" : "https://security.archlinux.org/ASA-202111-6/generate"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2022:0751-1 vom 2022-03-08",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2022-March/010387.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2022:1396-1 vom 2022-04-25",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2022-April/010822.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2022:2134-1 vom 2022-06-20",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2022-June/011316.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2022:3676-1 vom 2022-10-20",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2022-October/012594.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2022:4439-1 vom 2022-12-13",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2022-December/013221.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2022:4437-1 vom 2022-12-13",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2022-December/013220.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2022:4428-1 vom 2022-12-13",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2022-December/013218.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2024:0191-1 vom 2024-01-23",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2024-January/017744.html"
    }, {
      "category" : "external",
      "summary" : "SUSE Security Update SUSE-SU-2024:0196-1 vom 2024-01-23",
      "url" : "https://lists.suse.com/pipermail/sle-security-updates/2024-January/017743.html"
    } ],
    "source_lang" : "en-US",
    "title" : "Grafana: Schwachstelle ermöglicht Privilegieneskalation",
    "tracking" : {
      "current_release_date" : "2024-01-23T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:28:55.064+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2022-0403",
      "initial_release_date" : "2021-11-15T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2021-11-15T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      }, {
        "date" : "2021-11-18T23:00:00.000+00:00",
        "number" : "2",
        "summary" : "Neue Updates von Arch Linux aufgenommen"
      }, {
        "date" : "2022-03-08T23:00:00.000+00:00",
        "number" : "3",
        "summary" : "Neue Updates von SUSE aufgenommen"
      }, {
        "date" : "2022-04-25T22:00:00.000+00:00",
        "number" : "4",
        "summary" : "Neue Updates von SUSE aufgenommen"
      }, {
        "date" : "2022-06-20T22:00:00.000+00:00",
        "number" : "5",
        "summary" : "Neue Updates von SUSE aufgenommen"
      }, {
        "date" : "2022-10-20T22:00:00.000+00:00",
        "number" : "6",
        "summary" : "Neue Updates von SUSE aufgenommen"
      }, {
        "date" : "2022-12-12T23:00:00.000+00:00",
        "number" : "7",
        "summary" : "Neue Updates von SUSE aufgenommen"
      }, {
        "date" : "2024-01-23T23:00:00.000+00:00",
        "number" : "8",
        "summary" : "Neue Updates von SUSE aufgenommen"
      } ],
      "status" : "final",
      "version" : "8"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Open Source Arch Linux",
        "product" : {
          "name" : "Open Source Arch Linux",
          "product_id" : "T013312",
          "product_identification_helper" : {
            "cpe" : "cpe:/o:archlinux:archlinux:-"
          }
        }
      }, {
        "category" : "product_name",
        "name" : "Open Source Grafana < 8.2.4",
        "product" : {
          "name" : "Open Source Grafana < 8.2.4",
          "product_id" : "T021064",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:grafana:grafana:8.2.4"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Open Source"
    }, {
      "branches" : [ {
        "category" : "product_name",
        "name" : "SUSE Linux",
        "product" : {
          "name" : "SUSE Linux",
          "product_id" : "T002207",
          "product_identification_helper" : {
            "cpe" : "cpe:/o:suse:suse_linux:-"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "SUSE"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2021-41244",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Grafana. Der Fehler existiert, wenn die Beta-Funktion \"fine-grained\" Zugriffskontrolle aktiviert ist und mehr als eine Organisation in der Grafana-Instanz existiert. Ein entfernter authentisierter Angreifer mit bestimmten Rechten kann diese Schwachstelle ausnutzen, um die Rolle eines Benutzers in der anderen Organisation, in der er kein Administrator ist, aufzulisten, hinzuzufügen, zu entfernen und zu aktualisieren."
    } ],
    "product_status" : {
      "known_affected" : [ "T002207", "T013312" ]
    },
    "release_date" : "2021-11-15T23:00:00.000+00:00",
    "title" : "CVE-2021-41244"
  } ]
}