Lỗ hổng có tên là CVE-2022-31097 với số điểm nghiêm trọng là 7,3 do xác thực đầu vào không đúng bằng tính năng Unified Alerting. Kẻ tấn công được xác thực từ xa có thể khai thác lỗ hổng này để đưa tập lệnh độc hại vào trang Web, tập lệnh này sẽ được thực thi trong trình duyệt Web của nạn nhân trong ngữ cảnh bảo mật của trang Web lưu trữ, sau khi trang được xem. Kẻ tấn công có thể sử dụng lỗ hổng để đánh cắp thông tin đăng nhập xác thực dựa trên cookie của nạn nhân .
Lỗ hổng này ảnh hưởng đến Grafana Alerting (trước đây được gọi là Unified Alerting khi được giới thiệu trong Grafana 8.0). Cảnh báo Grafana được kích hoạt theo mặc định trong Grafana 9.0.
Thông tin chi tiết về sự cố bắt đầu được công khai vào tháng 7 khi Grafana Labs tung ra các bản cập nhật cho các phiên bản bị ảnh hưởng từ 8.0.0 đến 9.0.1.
“Vào ngày 25 tháng 11, một thành viên cộng đồng Grafana đã báo cáo lỗ hổng stored XSS trong Grafana Alerting. Thực tế, lỗ hổng này là được khai thác dựa trên CVE-2022-31097. Vì vấn đề này đã được công khai, chúng tôi coi đây là sự cố 0-day và sẽ ngay lập tức phát hành các bản vá”, Grafana cho biết.
Kẻ tấn công có thể khai thác CVE-2022-31097 để nâng cấp đặc quyền từ Editor lên Admin bằng cách lừa quản trị viên được xác thực nhấp vào liên kết.
Người dùng đang chạy bản cài đặt bị ảnh hưởng bởi các lỗi nói trên nên nâng cấp lên phiên bản mới nhất (9.3.0 hoặc 9.2.7) càng sớm càng tốt.
Theo Security Online