Уязвимость программного интерфейса веб-инструмента представления данных Grafana связана с недостатками разграничения доступа при обработке конечных точек. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и проводить фишинг-атаки путем отправки специально созданных e-mail сообщений
Использование рекомендаций:
Для Grafana:
https://grafana.com/security/security-advisories/cve-2023-2183/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Компенсирующие меры:
1. В настройках конфигурации SMTP-сервера следует установить ограничения при отправке e-mail сообщений на один и тот же электронный адрес в единицу времени;
2. Следует разграничить права при управлении доступом на основе ролей при обработке конечных точек.
| Балл | 4 — средняя опасность |