Lỗ hổng cho phép nâng cao đặc quyền trong Grafana
Cụ thể, lỗ hổng định danh CVE-2022-31097 có điểm CVSS 7.3 do xác thực đầu vào không đúng bằng tính năng Unified Alerting. Kẻ tấn công được xác thực từ xa có thể khai thác lỗ hổng này để đưa tập lệnh độc hại vào trang Web, tập lệnh này sẽ được thực thi trong trình duyệt Web. Kẻ tấn công có thể sử dụng lỗ hổng để đánh cắp thông tin đăng nhập xác thực dựa trên cookie của nạn nhân.
Lỗ hổng ảnh hưởng đến Grafana Alerting được kích hoạt mặc định trong Grafana 9.0.
Thông tin chi tiết về lỗ hổng được công khai vào tháng 7 khi Grafana Labs tung ra các bản cập nhật cho các phiên bản bị ảnh hưởng, từ 8.0.0 đến 9.0.1.
Tuy nhiên đến cuối tháng 11, một thành viên cộng đồng Grafana đã báo cáo lỗ hổng stored XSS trong Grafana Alerting. Thực tế, lỗ hổng này được khai thác dựa trên lỗ hổng CVE-2022-31097 để nâng cấp đặc quyền từ Editor lên Admin bằng cách lừa quản trị viên được xác thực nhấp vào liên kết.
Người dùng đang sử dụng bản cài đặt bị ảnh hưởng bởi các lỗ hổng nói trên cần khẩn trương nâng cấp lên phiên bản mới nhất của hãng để tránh các rủi ro đáng tiếc).
Nguyễn Chân
(Theo securityonline)