ГлавнаяБаза уязвимостей БДУ → BDU:2025-02009
6.4средняя

BDU:2025-02009 (CVE-2024-6837)

Уязвимость интерфейса платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)
Опубликовано: 2025-02-25
Описание

Уязвимость интерфейса платформы для мониторинга и наблюдения Grafana связана с непринятием мер по защите структуры веб-страницы при обработке конечной точки /swagger. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки (XSS)

Затрагиваемое ПО и версии
РЕД ОС (7.3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Suse Linux Enterprise Desktop (15 SP6)Suse Linux Enterprise Server (15 SP6)SUSE Linux Enterprise Server for SAP Applications (15 SP6)SUSE Linux Enterprise High Performance Computing (15 SP6)SUSE Linux Enterprise Module for Basesystem (15 SP6)SUSE Linux Enterprise Module for Package Hub (15 SP6)OpenSUSE Leap (15.6)Suse Linux Enterprise Server (15 SP5-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP5-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP5-ESPOS)SUSE Manager Client Tools (12)SUSE Manager Client Tools (15)SUSE Manager Client Tools (for SLE Micro 5)Grafana (от 10.4.0 до 10.4.7)Grafana (от 11.0.0 до 11.0.3)Grafana (от 11.1.0 до 11.1.4)
Способ устранения

Использование рекомендаций:
Для Grafana:
https://grafana.com/blog/2024/08/14/grafana-security-release-medium-severity-security-fix-for-cve-2024-6837/

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-6837.html

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://grafana.com/blog/2024/08/14/grafana-security-release-medium-severity-security-fix-for-cve-2024-6837/https://www.suse.com/security/cve/CVE-2024-6837.htmlhttps://www.tenable.com/cve/CVE-2024-6837http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена