ГлавнаяБаза уязвимостей БДУ → BDU:2024-02615
5.5средняя

BDU:2024-02615

Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с неправильной нейтрализацией ввода во время создания веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)
Опубликовано: 2024-04-05
Описание

Уязвимость платформы для мониторинга и наблюдения Grafana связана с наличием файлов SVG, которые не были должным образом очищены и позволяли выполнять произвольный JavaScript в контексте текущего авторизованного пользователя экземпляра Grafana. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки (XSS)

Затрагиваемое ПО и версии
РЕД ОС (7.3)Grafana (от 9.3.0 до 9.3.4)Grafana (от 8.1.0 до 8.5.16)Grafana (от 9.0.0 до 9.2.10)
Способ устранения

Для grafana:
https://github.com/grafana/grafana/commit/1c8a50b36973bd59a1cc5f34c30de8a9a6a431f0
https://github.com/grafana/grafana/commit/8b574e22b53aa4c5a35032a58844fd4aaaa12f5f
https://github.com/grafana/grafana/commit/c022534e3848a5d45c0b3face23b43aa44e4400a
https://github.com/grafana/grafana/pull/62143
https://github.com/grafana/grafana/security/advisories/GHSA-8xmm-x63g-f6xv

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл5.5 — средняя опасность
Источники и патчи
https://github.com/grafana/grafana/commit/1c8a50b36973bd59a1cc5f34c30de8a9a6a431f0https://github.com/grafana/grafana/commit/8b574e22b53aa4c5a35032a58844fd4aaaa12f5fhttps://github.com/grafana/grafana/commit/c022534e3848a5d45c0b3face23b43aa44e4400ahttps://github.com/grafana/grafana/pull/62143https://github.com/grafana/grafana/security/advisories/GHSA-8xmm-x63g-f6xvhttps://redos.red-soft.ru/support/secure/
Проверьте безопасность своего сайта и почты → Полная проверка домена