ГлавнаяБаза уязвимостей БДУ → BDU:2020-03230
6.4средняя

BDU:2020-03230 (CVE-2020-12245)

Уязвимость компонентов column.title и cellLinkTooltip веб-инструмента представления данных Grafana, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)
Опубликовано: 2020-07-09
Описание

Уязвимость компонентов column.title и cellLinkTooltip веб-инструмента представления данных Grafana связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки (XSS)

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat Storage (3)OpenSUSE Leap (15.2)Grafana (до 6.7.3)Openshift Service Mesh (1.1)Red Hat Storage (4)
Способ устранения

Использование рекомендаций:
Для Grafana:
https://github.com/grafana/grafana/pull/23816
https://github.com/grafana/grafana/blob/master/CHANGELOG.md#673-2020-04-23

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-06/msg00060.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-12245

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/grafana/grafana/pull/23816https://github.com/grafana/grafana/blob/master/CHANGELOG.md#673-2020-04-23https://lists.opensuse.org/opensuse-security-announce/2020-06/msg00060.htmlhttps://access.redhat.com/security/cve/cve-2020-12245https://nvd.nist.gov/vuln/detail/CVE-2020-12245https://community.grafana.com/t/release-notes-v6-7-x/27119
Проверьте безопасность своего сайта и почты → Полная проверка домена