Описание
Множественные уязвимости grafana
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета grafana или Установить обновление для пакета(ов) grafana
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
04.04.2024
CVE-2023-3128
Идентификатор БДУ ФСТЭК России:
BDU:2023-03343Описание уязвимости:
Уязвимость веб-инструмента представления данных Grafana связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к учетной записи пользователя
9.4 Critical
CVSS3
9.7 Critical
CVSS2
CVE-2023-2183
Идентификатор БДУ ФСТЭК России:
BDU:2023-03205Описание уязвимости:
Уязвимость программного интерфейса веб-инструмента представления данных Grafana связана с недостатками разграничения доступа при обработке конечных точек. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и проводить фишинг-атаки путем отправки специально созданных e-mail сообщений
4.1 Medium
CVSS3
4 Medium
CVSS2
CVE-2023-0594
Идентификатор БДУ ФСТЭК России:
BDU:2023-01776Описание уязвимости:
Уязвимость панели Trace View веб-инструмента представления данных Grafana связана с недостаточной защитой структуры веб-страницы при обработке значений атрибутов и ресурсов диапазона. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и осуществить межсайтовые сценарные атаки
7.3 High
CVSS3
8.5 High
CVSS2
CVE-2023-22462
Идентификатор БДУ ФСТЭК России:
BDU:2023-01731Описание уязвимости:
Уязвимость веб-инструмента представления данных Grafana связана с недостаточной очисткой пользовательских данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)
6.4 Medium
CVSS3
6.6 Medium
CVSS2
CVE-2022-23498
Идентификатор БДУ ФСТЭК России:
BDU:2023-01071Описание уязвимости:
Уязвимость веб-инструмента представления данных Grafana связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к сеансу текущего пользователя
7.1 High
CVSS3
6.8 Medium
CVSS2
CVE-2022-39324
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с созданием снимка и произвольно выбора параметр «originalUrl», отредактировав запрос, благодаря веб-прокси. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушителю внедрять введенный URL-адреса
3.5 Low
CVSS3
4 Medium
CVSS2
CVE-2022-23552
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с наличием файлов SVG, которые не были должным образом очищены и позволяли выполнять произвольный JavaScript в контексте текущего авторизованного пользователя экземпляра Grafana. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)
5.4 Medium
CVSS3
5.5 Medium
CVSS2
CVE-2022-39328
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с регистрацией чужого адреса электронной почты в качестве имени пользователя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, блокировать попытку входа в систему
8.1 High
CVSS3
7.6 High
CVSS2
CVE-2022-39307
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с использованием забытого пароля на странице входа в систему отправляется запрос POST по URL-адресу `/api/user/password/sent-reset-email`. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить конфиденциальные данные
5.3 Medium
CVSS3
5 Medium
CVSS2
CVE-2022-39306
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с возможностью пользователям зарегистрироваться с любым именем пользователя/адресом электронной почты, которое выберет пользователь. Эксплуатация уязвимости может позволить нарушителю, обойти существующие ограничения безопасности
8.1 High
CVSS3
9.4 Critical
CVSS2
CVE-2022-39229
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с регистрацией чужого адреса электронной почты в качестве имени пользователя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, блокировать попытку входа в систему
4.3 Medium
CVSS3
4 Medium
CVSS2
CVE-2022-39201
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с передачей файлы cookie аутентификации пользователей плагинам. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить конфиденциальные данные
8.2 High
CVSS3
7.8 High
CVSS2
CVE-2022-31130
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с передачей токенов аутентификации некоторым целевым плагинам. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить конфиденциальные данные
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-31123
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с обходом проверки подписи плагина. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, установить вредоносное программное обеспечение на уязвимое устройство
7.8 High
CVSS3
7.2 High
CVSS2
CVE-2022-35957
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость платформы для мониторинга и наблюдения Grafana связана с эскалацией от администратора к администратору сервера при использовании прокси-сервера аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно,получить несанкционированный доступ к информации и нарушить ее целостность и доступность
6.6 Medium
CVSS3
6.8 Medium
CVSS2