Описание
Множественные уязвимости grafana
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета grafana или Установить обновление для пакета(ов) grafana
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
03.04.2024
CVE-2022-31107
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с входом в Grafana через настроенный идентификатор OAuth IdP, который предоставляет имя входа, чтобы взять на себя управление учетной записью другого пользователя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность данных
7.5 High
CVSS3
7.1 High
CVSS2
CVE-2022-31097
Идентификатор БДУ ФСТЭК России:
BDU:2022-07077Описание уязвимости:
Уязвимость компонентов column.title и cellLinkTooltip веб-инструмента представления данных Grafana связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
8.7 High
CVSS3
9.4 Critical
CVSS2
CVE-2020-7753
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость пакета trim связана с использованием регулярных выражений (ReDoS) и trim(). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2021-3807
Идентификатор БДУ ФСТЭК России:
BDU:2022-00256Описание уязвимости:
Уязвимость библиотеки сравнения с регулярными выражениями ANSI escape-кодов Ansi-regex связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2021-3918
Идентификатор БДУ ФСТЭК России:
BDU:2022-04683Описание уязвимости:
Уязвимость приложения для проверки и тестирования JSON-файлов JSON Schema связана с недостаточным контролем модификации динамически определённых характеристик объекта при обработке JSON-файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2021-43138
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость функции mapValues() служебный модуль Async для работы с асинхронным JavaScript связана с неправильно контролируемой модификации атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
7.8 High
CVSS3
7.2 High
CVSS2
CVE-2022-0155
Идентификатор БДУ ФСТЭК России:
BDU:2022-02815Описание уязвимости:
Уязвимость модуля Node.js follow-redirects связана с ошибками обработки файлов cookie. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
8 High
CVSS3
9 Critical
CVSS2
CVE-2022-21673
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с пересылкой идентификатора OAuth пользователя, вошедшего последним в систему. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить конфиденциальные данные
4.3 Medium
CVSS3
4 Medium
CVSS2
CVE-2022-21703
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с проведения атак из разных источников против аутентифицированных пользователей Grafana с высокими привилегиями. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегий
8.8 High
CVSS3
10 Critical
CVSS2
CVE-2022-21702
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с передачей HTML-контента через источник данных Grafana или прокси-сервер плагина, заставляя пользователя посетить эту HTML-страницу с помощью специально созданной ссылки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2022-29170
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с обходом конфигурации безопасности, если вредоносный источник данных работает на разрешенном хосте. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, перенаправить пользователя на произвольный сайт
8.5 High
CVSS3
7.5 High
CVSS2
CVE-2023-4822
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с разрешениями администратора организации изменять разрешения, связанные с ролями просмотра организации, редактора организации и администратора организации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии
7.2 High
CVSS3
8.3 High
CVSS2
CVE-2023-4399
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с обходом списка запретов, используя кодировку punycode символов в адресе запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения доступа
7.2 High
CVSS3
8.3 High
CVSS2
CVE-2023-4457
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость источника данных Google Sheets платформы для мониторинга и наблюдения Grafana связана с не обработкой сообщений об ошибках должным образом, что потенциально может раскрыть ключ Google Sheet API. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2023-3010
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость плагина панели WorldMap платформы для мониторинга и наблюдения Grafana связана с неправильной нейтрализацией ввода во время создания веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный осуществлять межсайтовые сценарные атаки (XSS)
6.1 Medium
CVSS3
6.4 Medium
CVSS2
CVE-2023-0507
Идентификатор БДУ ФСТЭК России:
BDU:2023-01605Описание уязвимости:
Уязвимость плагина GeoMap веб-инструмента представления данных Grafana связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
7.3 High
CVSS3
8.5 High
CVSS2
CVE-2023-1387
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с возможностью искать JWT в параметре URL-запроса auth_token и использовать его в качестве токена аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2023-1410
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с необходимостью выбрать подделанную функцию и навести указатель мыши на описание. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)
4.8 Medium
CVSS3
4.7 Medium
CVSS2