Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06600

Опубликовано: 24 авг. 2023
Источник: fstec
CVSS3: 5.4
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость файла /api/v1/alerts системы мониторинга Prometheus для обработки оповещений Alertmanager связана с неправильной нейтрализацией входных данных во время генерации веб-страницы. Эксплуатация уязвимости может позволить нарушителю, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
Red Hat Inc.
Prometheus Monitoring Community

Наименование ПО

Debian GNU/Linux
РЕД ОС
OpenShift Container Platform
alertmanager

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
4.15 (OpenShift Container Platform)
до 0.25.1 (alertmanager)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Для alertmanager:
https://github.com/prometheus/alertmanager/security/advisories/GHSA-v86x-5fm3-5p7j
https://github.com/prometheus/alertmanager/commit/8b9f2fd20c25e0d1e76aa0b407f7e354996d8e72
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-40577
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-40577

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01521
Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-40577

CVSS3: 7.5
ubuntu
почти 2 года назад

Alertmanager handles alerts sent by client applications such as the Prometheus server. An attacker with the permission to perform POST requests on the /api/v1/alerts endpoint could be able to execute arbitrary JavaScript code on the users of Prometheus Alertmanager. This issue has been fixed in Alertmanager version 0.2.51.

redhat логотип

CVE-2023-40577

CVSS3: 7.5
redhat
почти 2 года назад

Alertmanager handles alerts sent by client applications such as the Prometheus server. An attacker with the permission to perform POST requests on the /api/v1/alerts endpoint could be able to execute arbitrary JavaScript code on the users of Prometheus Alertmanager. This issue has been fixed in Alertmanager version 0.2.51.

nvd логотип

CVE-2023-40577

CVSS3: 7.5
nvd
почти 2 года назад

Alertmanager handles alerts sent by client applications such as the Prometheus server. An attacker with the permission to perform POST requests on the /api/v1/alerts endpoint could be able to execute arbitrary JavaScript code on the users of Prometheus Alertmanager. This issue has been fixed in Alertmanager version 0.2.51.

debian логотип

CVE-2023-40577

CVSS3: 7.5
debian
почти 2 года назад

Alertmanager handles alerts sent by client applications such as the Pr ...

suse-cvrf логотип

SUSE-SU-2024:0512-1

suse-cvrf
больше 1 года назад

Security update for golang-github-prometheus-alertmanager

EPSS

Процентиль: 80%
0.01521
Низкий

5.4 Medium

CVSS3

5.5 Medium

CVSS2