1、产品描述:
Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。
2、影响产品或组件及版本:
github.com/grafana/grafana@[9.2.0, 9.2.4)
3、受影响资产情况:
通过Fofa搜索到,全网使用Grafana产品共计314,093,其中排名第一的为美国:72,526,排名第二的为中国:43,975,排名第三的为德国:34,808
4、受影响资产列表:
无详细资产列表。
5、利用过程及结果:
无
6、技术细节表述:
Grafana 的受影响版本在身份验证中间件逻辑中具有竞争条件(共享资源并发执行)漏洞,“HTTP context creation”中的竞争条件会使 HTTP 请求被分配到另一个调用的身份验证/授权的中间件。在高负载情况下,未经身份验证的攻击者可利用此漏洞查询受保护的任意端点,从而获取系统敏感信息进行权限升级。
7、修补措施:
将组件 github.com/grafana/grafana 升级至 9.2.4 及以上版本
8、检测规则:
无
9、漏洞来源:
https://www.oscs1024.com/hd/MPS-2022-63988
https://github.com/grafana/grafana/security/advisories/GHSA-vqc4-mpj8-jxch
https://nvd.nist.gov/vuln/detail/CVE-2022-39328
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论