ГлавнаяБаза уязвимостей БДУ → BDU:2023-01731
6.6средняя

BDU:2023-01731 (CVE-2023-0594)

Уязвимость веб-инструмента представления данных Grafana, связанная с недостаточной очисткой пользовательских данныхt, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)
Опубликовано: 2023-03-29
Описание

Уязвимость веб-инструмента представления данных Grafana связана с недостаточной очисткой пользовательских данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)

Затрагиваемое ПО и версии
РЕД ОС (7.3)Grafana (от 9.3.0 до 9.3.4)Grafana (от 9.2.0 до 9.2.10)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учетных записей пользователей;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- ограничение доступа к программному продукту из внешних сетей (Интернет).

Использование рекомендаций производителя:
Для Grafana:
https://grafana.com/blog/2023/02/28/grafana-security-release-new-versions-with-security-fixes-for-cve-2023-0594-cve-2023-0507-and-cve-2023-22462/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.6 — средняя опасность
Источники и патчи
https://grafana.com/blog/2023/02/28/grafana-security-release-new-versions-with-security-fixes-for-cve-2023-0594-cve-2023-0507-and-cve-2023-22462/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена