Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03205

Опубликовано: 19 апр. 2023
Источник: fstec
CVSS3: 4.1
CVSS2: 4
EPSS Низкий

Описание

Уязвимость программного интерфейса веб-инструмента представления данных Grafana связана с недостатками разграничения доступа при обработке конечных точек. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и проводить фишинг-атаки путем отправки специально созданных e-mail сообщений

Вендор

ООО «Ред Софт»
Grafana

Наименование ПО

РЕД ОС
Grafana

Версия ПО

7.3 (РЕД ОС)
от 9.5.0 до 9.5.3 (Grafana)
от 9.4.0 до 9.4.12 (Grafana)
от 9.3.0 до 9.3.15 (Grafana)
от 9.2.0 до 9.2.19 (Grafana)
до 8.5.26 (Grafana)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Grafana:
https://grafana.com/security/security-advisories/cve-2023-2183/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
1. В настройках конфигурации SMTP-сервера следует установить ограничения при отправке e-mail сообщений на один и тот же электронный адрес в единицу времени;
2. Следует разграничить права при управлении доступом на основе ролей при обработке конечных точек.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 69%
0.00621
Низкий

4.1 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-2183

CVSS3: 4.1
ubuntu
около 2 лет назад

Grafana is an open-source platform for monitoring and observability. The option to send a test alert is not available from the user panel UI for users having the Viewer role. It is still possible for a user with the Viewer role to send a test alert using the API as the API does not check access to this function. This might enable malicious users to abuse the functionality by sending multiple alert messages to e-mail and Slack, spamming users, prepare Phishing attack or block SMTP server. Users may upgrade to version 9.5.3, 9.4.12, 9.3.15, 9.2.19 and 8.5.26 to receive a fix.

redhat логотип

CVE-2023-2183

CVSS3: 4.3
redhat
около 2 лет назад

Grafana is an open-source platform for monitoring and observability. The option to send a test alert is not available from the user panel UI for users having the Viewer role. It is still possible for a user with the Viewer role to send a test alert using the API as the API does not check access to this function. This might enable malicious users to abuse the functionality by sending multiple alert messages to e-mail and Slack, spamming users, prepare Phishing attack or block SMTP server. Users may upgrade to version 9.5.3, 9.4.12, 9.3.15, 9.2.19 and 8.5.26 to receive a fix.

nvd логотип

CVE-2023-2183

CVSS3: 4.1
nvd
около 2 лет назад

Grafana is an open-source platform for monitoring and observability. The option to send a test alert is not available from the user panel UI for users having the Viewer role. It is still possible for a user with the Viewer role to send a test alert using the API as the API does not check access to this function. This might enable malicious users to abuse the functionality by sending multiple alert messages to e-mail and Slack, spamming users, prepare Phishing attack or block SMTP server. Users may upgrade to version 9.5.3, 9.4.12, 9.3.15, 9.2.19 and 8.5.26 to receive a fix.

debian логотип

CVE-2023-2183

CVSS3: 4.1
debian
около 2 лет назад

Grafana is an open-source platform for monitoring and observability. ...

redos логотип

ROS-20240404-01

CVSS3: 9.4
redos
около 1 года назад

Множественные уязвимости grafana

EPSS

Процентиль: 69%
0.00621
Низкий

4.1 Medium

CVSS3

4 Medium

CVSS2