ГлавнаяБаза уязвимостей БДУ → BDU:2023-03205
4средняя

BDU:2023-03205 (CVE-2023-2183)

Уязвимость программного интерфейса веб-инструмента представления данных Grafana, позволяющая нарушителю повысить свои привилегии и проводить фишинг-атаки
Опубликовано: 2023-06-16
Описание

Уязвимость программного интерфейса веб-инструмента представления данных Grafana связана с недостатками разграничения доступа при обработке конечных точек. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и проводить фишинг-атаки путем отправки специально созданных e-mail сообщений

Затрагиваемое ПО и версии
РЕД ОС (7.3)Grafana (от 9.5.0 до 9.5.3)Grafana (от 9.4.0 до 9.4.12)Grafana (от 9.3.0 до 9.3.15)Grafana (от 9.2.0 до 9.2.19)Grafana (до 8.5.26)
Способ устранения

Использование рекомендаций:
Для Grafana:
https://grafana.com/security/security-advisories/cve-2023-2183/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
1. В настройках конфигурации SMTP-сервера следует установить ограничения при отправке e-mail сообщений на один и тот же электронный адрес в единицу времени;
2. Следует разграничить права при управлении доступом на основе ролей при обработке конечных точек.

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/grafana/bugbounty/security/advisories/GHSA-cvm3-pp2j-chr3https://grafana.com/security/security-advisories/cve-2023-2183/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена