Уязвимость HTTP прокси-сервера веб-инструмента представления данных Grafana связана с недостаточной защитой структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки с помощью специально созданной вредоносной HTML-страницы
Использование рекомендаций:
Для Grafana:
https://grafana.com/blog/2022/02/08/grafana-7.5.15-and-8.3.5-released-with-moderate-severity-security-fixes/
https://github.com/grafana/grafana/commit/27726868b3d7c613844b55cd209ca93645c99b85
https://github.com/grafana/grafana/commit/41c1cd2865fee195a76f4856905077dfff311169
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-21702
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HLAQRRGNSO5MYCPAXGPH2OCSHOGHSQMQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2PFW6Q2LXXWTFRTMTRN4ZGADFRQPKJ3D/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/36GUEPA5TPSC57DZTPYPBL6T7UPQ2FRH/
Для NetApp E-Series Performance Analyzer:
https://security.netapp.com/advisory/ntap-20220303-0005/
https://github.com/NetApp/eseries-perf-analyzer
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
Используя прокси-сервер, установите заголовок ответа Content Security Policy: sandbox для следующих маршрутов:
/api/datasources/proxy*
/api/plugin-proxy*
/api/plugins/<pluginId>/resources*
/api/datasources/<id>/resources*
Или, используя прокси-сервер, установите заголовок ответа Content-Disposition: attachment; “proxy.txt”.
| Балл | 6.8 — средняя опасность |