Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02597

Опубликовано: 08 фев. 2022
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость платформы для мониторинга и наблюдения Grafana связана с проведения атак из разных источников против аутентифицированных пользователей Grafana с высокими привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегий

Вендор

ООО «Ред Софт»
Grafana

Наименование ПО

РЕД ОС
Grafana

Версия ПО

7.3 (РЕД ОС)
от 8.0.0 до 8.3.5 (Grafana)
от 3.0.0 beta1 до 3.0.0 beta7 включительно (Grafana)
от 3.0.1 до 7.5.15 (Grafana)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Для grafana:
https://github.com/grafana/grafana/pull/45083
https://github.com/grafana/grafana/security/advisories/GHSA-cmf4-h3xc-jw8w
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01869
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-21703

CVSS3: 6.3
ubuntu
больше 3 лет назад

Grafana is an open-source platform for monitoring and observability. Affected versions are subject to a cross site request forgery vulnerability which allows attackers to elevate their privileges by mounting cross-origin attacks against authenticated high-privilege Grafana users (for example, Editors or Admins). An attacker can exploit this vulnerability for privilege escalation by tricking an authenticated user into inviting the attacker as a new user with high privileges. Users are advised to upgrade as soon as possible. There are no known workarounds for this issue.

redhat логотип

CVE-2022-21703

CVSS3: 6.8
redhat
больше 3 лет назад

Grafana is an open-source platform for monitoring and observability. Affected versions are subject to a cross site request forgery vulnerability which allows attackers to elevate their privileges by mounting cross-origin attacks against authenticated high-privilege Grafana users (for example, Editors or Admins). An attacker can exploit this vulnerability for privilege escalation by tricking an authenticated user into inviting the attacker as a new user with high privileges. Users are advised to upgrade as soon as possible. There are no known workarounds for this issue.

nvd логотип

CVE-2022-21703

CVSS3: 6.3
nvd
больше 3 лет назад

Grafana is an open-source platform for monitoring and observability. Affected versions are subject to a cross site request forgery vulnerability which allows attackers to elevate their privileges by mounting cross-origin attacks against authenticated high-privilege Grafana users (for example, Editors or Admins). An attacker can exploit this vulnerability for privilege escalation by tricking an authenticated user into inviting the attacker as a new user with high privileges. Users are advised to upgrade as soon as possible. There are no known workarounds for this issue.

debian логотип

CVE-2022-21703

CVSS3: 6.3
debian
больше 3 лет назад

Grafana is an open-source platform for monitoring and observability. A ...

github логотип

GHSA-cmf4-h3xc-jw8w

CVSS3: 6.8
github
больше 1 года назад

Grafana Cross Site Request Forgery (CSRF)

EPSS

Процентиль: 82%
0.01869
Низкий

8.8 High

CVSS3

10 Critical

CVSS2