BDU:2023-07588

Опубликовано: 20 дек. 2022

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость системы визуализации данных Grafana Enterprise Metrics связана с управлением доступом на основе меток. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Grafana Labs

Наименование ПО

Grafana Enterprise Metrics

Версия ПО

от 1.0.0 до 1.7.1 (Grafana Enterprise Metrics)

от 2.0.0 до 2.3.1 (Grafana Enterprise Metrics)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://grafana.com/docs/enterprise-metrics/v2.4.x/downloads/#v231----november-14th-2022

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-44643
CVE

EPSS

Процентиль: 46%

0.0023

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2022-44643

CVSS3: 5.7

nvd

около 3 лет назад

A vulnerability in the label-based access control of Grafana Labs Grafana Enterprise Metrics allows an attacker more access than intended. If an access policy which has label selector restrictions also has been granted access to all tenants in the system, the label selector restrictions will not be applied when using this policy with the affected versions of the software. This issue affects: Grafana Labs Grafana Enterprise Metrics GEM 1.X versions prior to 1.7.1 on AMD64; GEM 2.X versions prior to 2.3.1 on AMD64.

GHSA-rp9r-6gmg-rh38