CRITICAL🇬🇧 English

CVE-2024-30896

InfluxDB OSS 2.x — niebezpieczne przechowywanie tokenu operatora admina

CVSS 9.1v3.1pub. 2024-11-21upd. 2026-04-15

InfluxDB OSS w wersjach 2.x do 2.7.11 przechowuje administracyjny token operatora w domyślnej organizacji w sposób umożliwiający jego odczyt przez nieupoważnionych użytkowników. Zagrożenie jest poważne, ponieważ token operatora zapewnia pełny dostęp administracyjny do instancji InfluxDB.

Pokaż oryginał (EN)

InfluxDB OSS 2.x through 2.7.11 stores the administrative operator token under the default organization which allows authorized users with read access to the authorization resource of the default organization to retrieve the operator token. InfluxDB OSS 1.x, Enterprise, Cloud, Cloud Dedicated and Clustered are not affected. NOTE: The researcher states that InfluxDB allows allAccess administrators to retrieve all raw tokens via an "influx auth ls" command. The supplier indicates that the organizations feature is operating as intended and that users may choose to add users to non-default organizations. A future release of InfluxDB 2.x will remove the ability to retrieve tokens from the API. The supplier has stated that InfluxDB 2.8.0 has addressed this issue.

🤖 Analiza AI
Jak działa

InfluxDB OSS 2.x przechowuje token operatora (o najwyższych uprawnieniach) w zasobie autoryzacji domyślnej organizacji. Każdy użytkownik posiadający uprawnienia do odczytu zasobu autoryzacji w domyślnej organizacji może pobrać ten token. Dodatkowo użytkownicy z rolą allAccess administrator mogą pobierać wszystkie tokeny w postaci jawnej za pomocą polecenia 'influx auth ls'. Producent wskazuje, że mechanizm organizacji działa zgodnie z założeniami, jednak nie zabezpieczał odpowiednio tokenu operatora przed odczytem przez zwykłych administratorów.

Skutki

Atakujący posiadający dostęp do odczytu zasobu autoryzacji w domyślnej organizacji może uzyskać token operatora i przejąć pełną kontrolę administracyjną nad instancją InfluxDB, co prowadzi do ujawnienia, modyfikacji lub usunięcia wszystkich przechowywanych danych.

Mitygacja

Należy zaktualizować InfluxDB OSS do wersji 2.8.0, w której producent usunął możliwość pobierania tokenów przez API. Dodatkowo zaleca się przeniesienie użytkowników z domyślnej organizacji do organizacji niestandardowych oraz przeprowadzenie rotacji tokenów operatora w celu unieważnienia potencjalnie skompromitowanych poświadczeń.

Kogo dotyczy

InfluxDB OSS w wersjach 2.x do 2.7.11. Wersje 1.x, Enterprise, Cloud, Cloud Dedicated oraz Clustered nie są podatne.

Uwagi

Producent (InfluxData) stoi na stanowisku, że mechanizm organizacji działa zgodnie z projektem. Podatność została zgłoszona przez zewnętrznego badacza, który opublikował kod PoC w repozytorium GitHub (github.com/XenoM0rph97/CVE-2024-30896). Podatność dotyczy wyłącznie środowisk, w których użytkownicy mają uprawnienia do odczytu zasobów autoryzacji w domyślnej organizacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje