Grafana 敏感信息泄露漏洞
时间:2022-11-14 18:45 来源:linux.it.net.cn 作者:IT
漏洞描述
Grafana 是一个跨平台、开源的数据可视化网络应用平台。
Grafana 的受影响版本中存在敏感信息泄露漏洞,原因是在登录页面使用忘记密码时,平台会向 /api/user/password/sent-reset-email
发送一个 Post 请求,如果用户名或电子邮件不存在时,JSON 响应包含 “未找到用户” 消息。攻击者可通过忘记密码功能枚举用户,获取系统敏感信息。
漏洞名称
Grafana 敏感信息泄露漏洞
漏洞类型
信息暴露
发现时间
2022-11-10
漏洞影响广度
一般
MPS 编号
MPS-2022-64074
CVE 编号
CVE-2022-39307
CNVD 编号
-
影响范围
grafana/grafana@(-∞, 8.5.15)
grafana/grafana@[9.0.0, 9.2.4)
修复方案
升级 grafana/grafana 到 8.5.15 或 9.2.4 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-64074
https://github.com/grafana/grafana/security/advisories/GHSA-3p62-42x7-gxg5
https://nvd.nist.gov/vuln/detail/CVE-2022-39307
(责任编辑:IT)
漏洞描述Grafana 是一个跨平台、开源的数据可视化网络应用平台。
Grafana 的受影响版本中存在敏感信息泄露漏洞,原因是在登录页面使用忘记密码时,平台会向
影响范围grafana/grafana@(-∞, 8.5.15) grafana/grafana@[9.0.0, 9.2.4) 修复方案升级 grafana/grafana 到 8.5.15 或 9.2.4 或更高版本 参考链接https://www.oscs1024.com/hd/MPS-2022-64074 https://github.com/grafana/grafana/security/advisories/GHSA-3p62-42x7-gxg5 https://nvd.nist.gov/vuln/detail/CVE-2022-39307 (责任编辑:IT) |