当前位置: > Linux安全 >

Grafana 敏感信息泄露漏洞

时间:2022-11-14 18:45来源:linux.it.net.cn 作者:IT

漏洞描述

Grafana 是一个跨平台、开源的数据可视化网络应用平台。

Grafana 的受影响版本中存在敏感信息泄露漏洞,原因是在登录页面使用忘记密码时,平台会向 /api/user/password/sent-reset-email 发送一个 Post 请求,如果用户名或电子邮件不存在时,JSON 响应包含 “未找到用户” 消息。攻击者可通过忘记密码功能枚举用户,获取系统敏感信息。

漏洞名称 Grafana 敏感信息泄露漏洞
漏洞类型 信息暴露
发现时间 2022-11-10
漏洞影响广度 一般
MPS 编号 MPS-2022-64074
CVE 编号 CVE-2022-39307
CNVD 编号 -

影响范围

grafana/grafana@(-∞, 8.5.15)

grafana/grafana@[9.0.0, 9.2.4)

修复方案

升级 grafana/grafana 到 8.5.15 或 9.2.4 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-64074

https://github.com/grafana/grafana/security/advisories/GHSA-3p62-42x7-gxg5

https://nvd.nist.gov/vuln/detail/CVE-2022-39307



(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容