Grafana là một nền tảng phân tích và hình ảnh hóa mã nguồn mở hợp nhất các tập dữ liệu thành một không gian làm việc chẩn đoán tương tác. Grafana được xây dựng trên kiến trúc trình cắm thêm cho phép tương tác với các nguồn dữ liệu cơ bản mà không cần tạo bản sao dữ liệu.
Lỗi đầu tiên (CVE-2022-39328, điểm CVSS 9,8) là lỗi truy cập trái phép vào các điểm cuối tùy ý, cho phép kẻ tấn công truy vấn các điểm cuối được bảo vệ. Lỗ hổng ảnh hưởng đến tất cả các cài đặt của phiên bản Grafana >= 9.2.x.
Cũng được giải quyết bởi Grafana phiên bản 9.2.4 và 8.5.15 là hai lỗi có mức độ nghiêm trọng trung bình. Trong đó CVE-2022-39306 là lỗi nâng cao đặc quyền, có điểm CVSS là 6,4. Các phiên bản Grafana <= 9.x và <8.x đều dễ bị tấn công.
Grafana cũng đã sửa lỗi liệt kê tên người dùng bằng cách lạm dụng quên mật khẩu trên trang đăng nhập. Được theo dõi là CVE-2022-39307. Điểm CVSS cho lỗ hổng này là 5,3.
Theo các báo cáo công khai, có hàng nghìn máy chủ Grafana bị lộ trên internet công cộng. Người dùng đang chạy bản cài đặt bị ảnh hưởng bởi các lỗi nói trên được khuyến nghị nâng cấp lên phiên bản mới nhất càng sớm càng tốt.
Theo https://securityonline.info/