• 以下の条件が全て満たされた場合に、該当
  • 攻撃者がoauthログインできる
  • 攻撃者のアカウント名とメアドが他のアカウントに設定されてない
  • 攻撃者がターゲットユーザーのアカウント名を知ってる
• 攻撃者はOAuthプロバイダの自分のアカウントにターゲットの アカウント名をセットしOauthログインするとgrafana側のアカウントはターゲットのそれになる
• 修正コミット: https://github.com/grafana/grafana/pull/52279/files#
  • 修正前は、login_oauth.go でUserLookupParamsを設定せずに、OAuth IdP元のUserIDをプリミティブ型の検証値として使ったので、authinfoservice/service.goのLookupAndFixで信頼できない外部UserID をもとにしたユーザー検索ができていた（ATOの実現）
  • 修正版ではLookupAndFixの中で、user, err := s.authInfoStore.GetUserById(ctx,authQuery.Result.UserId) が呼び出される。authQuery.Result.UserIdはOAuthプロバイダ側のAuthId。なので、LookupAndFix以降が実行されない（ので解決）

Today we are releasing Grafana 8.3.10, 8.4.10, 8.5.9 and 9.0.3. This patch release includes a HIGH severity security fix for an Oauth takeover vulnerability in Grafana.

Release v.9.0.3, containing this security fix and other patches:

Release v.8.5.9, containing this security fix and other fixes:

Release v.8.4.10, containing this security fix and other fixes:

Release v.8.3.10, containing this security fix and other fixes:

Grafana account takeover via OAuth vulnerability (CVE-2022-31107)

Summary

On June 27 the HTTPVoid team contacted Grafana Labs to disclose a Grafana account takeover via an OAuth vulnerability.

We believe that this vulnerability is rated at CVSS 7.1 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L).

Impact

It is possible for a malicious user who has authorization to log into a Grafana instance via a configured OAuth IdP to take over an existing Grafana account under some conditions.

Affected versions with HIGH severity

All Grafana >=5.3 versions are affected by this vulnerability.