WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
CVE-2022-39328: Lỗ hổng nghiêm trọng ảnh hưởng đến Grafana
Grafana, giải pháp giám sát và phân tích nguồn mở, vừa được cập nhật để khắc phục ba lỗ hổng bảo mật, trong đó có một lỗ hổng được đánh giá ở mức ‘nghiêm trọng’.
Grafana là một nền tảng phân tích và hình ảnh hóa mã nguồn mở, hợp nhất các tập dữ liệu trong công ty thành một không gian làm việc chẩn đoán tương tác.
Lỗi đầu tiên (CVE-2022-39328, điểm CVSS 9,8) là lỗi truy cập trái phép vào các điểm cuối tùy ý, cho phép kẻ tấn công truy vấn các điểm cuối được bảo vệ. Lỗ hổng ảnh hưởng đến tất cả các cài đặt của phiên bản Grafana >= 9.2.x.
Cũng được giải quyết bởi Grafana phiên bản 9.2.4 và 8.5.15 là hai lỗi có mức độ nghiêm trọng trung bình. Cụ thể, CVE-2022-39306 là lỗi nâng cao đặc quyền, có điểm CVSS là 6,4. Các phiên bản Grafana <= 9.x và <8.x đều dễ bị tấn công.
Lỗi tiếp theo (CVE-2022-39307, điểm CVSS 5,3) là lỗi liệt kê tên người dùng bằng cách lạm dụng tính năng quên mật khẩu trên trang đăng nhập.
Theo các báo cáo công khai, có hàng nghìn máy chủ Grafana bị lộ trên Internet. Người dùng đang chạy bản cài đặt bị ảnh hưởng bởi các lỗi nói trên được khuyến cáo nâng cấp lên phiên bản mới nhất càng sớm càng tốt.
Grafana là một nền tảng phân tích và hình ảnh hóa mã nguồn mở, hợp nhất các tập dữ liệu trong công ty thành một không gian làm việc chẩn đoán tương tác.
Lỗi đầu tiên (CVE-2022-39328, điểm CVSS 9,8) là lỗi truy cập trái phép vào các điểm cuối tùy ý, cho phép kẻ tấn công truy vấn các điểm cuối được bảo vệ. Lỗ hổng ảnh hưởng đến tất cả các cài đặt của phiên bản Grafana >= 9.2.x.
Cũng được giải quyết bởi Grafana phiên bản 9.2.4 và 8.5.15 là hai lỗi có mức độ nghiêm trọng trung bình. Cụ thể, CVE-2022-39306 là lỗi nâng cao đặc quyền, có điểm CVSS là 6,4. Các phiên bản Grafana <= 9.x và <8.x đều dễ bị tấn công.
Lỗi tiếp theo (CVE-2022-39307, điểm CVSS 5,3) là lỗi liệt kê tên người dùng bằng cách lạm dụng tính năng quên mật khẩu trên trang đăng nhập.
Theo các báo cáo công khai, có hàng nghìn máy chủ Grafana bị lộ trên Internet. Người dùng đang chạy bản cài đặt bị ảnh hưởng bởi các lỗi nói trên được khuyến cáo nâng cấp lên phiên bản mới nhất càng sớm càng tốt.
Theo Security Online