Lỗ hổng cho phép nâng cao đặc quyền trong Grafana

14:00 | 16/12/2022 | TIN TỨC SẢN PHẨM

Đầu tháng 12/2022, giải pháp nguồn mở giúp giám sát và phân tích dữ liệu Grafana, được cập nhật để khắc phục lỗ hổng zero-day có mức độ nghiêm trọng cao cho phép kẻ tấn công nâng cao đặc quyền từ Editor lên Admin.

Lỗ hổng cho phép nâng cao đặc quyền trong Grafana

Cụ thể, lỗ hổng định danh CVE-2022-31097 có điểm CVSS 7.3 do xác thực đầu vào không đúng bằng tính năng Unified Alerting. Kẻ tấn công được xác thực từ xa có thể khai thác lỗ hổng này để đưa tập lệnh độc hại vào trang Web, tập lệnh này sẽ được thực thi trong trình duyệt Web. Kẻ tấn công có thể sử dụng lỗ hổng để đánh cắp thông tin đăng nhập xác thực dựa trên cookie của nạn nhân.

Lỗ hổng ảnh hưởng đến Grafana Alerting được kích hoạt mặc định trong Grafana 9.0.

Thông tin chi tiết về lỗ hổng được công khai vào tháng 7 khi Grafana Labs tung ra các bản cập nhật cho các phiên bản bị ảnh hưởng, từ 8.0.0 đến 9.0.1.

Tuy nhiên đến cuối tháng 11, một thành viên cộng đồng Grafana đã báo cáo lỗ hổng stored XSS trong Grafana Alerting. Thực tế, lỗ hổng này được khai thác dựa trên lỗ hổng CVE-2022-31097 để nâng cấp đặc quyền từ Editor lên Admin bằng cách lừa quản trị viên được xác thực nhấp vào liên kết.

Người dùng đang sử dụng bản cài đặt bị ảnh hưởng bởi các lỗ hổng nói trên cần khẩn trương nâng cấp lên phiên bản mới nhất của hãng để tránh các rủi ro đáng tiếc).

Nguyễn Chân

(Theo securityonline)

‹ › ×

Tin liên quan

Atlassian vá lỗ hổng nghiêm trọng trong Bitbucket Server và Data Center

16:00 | 30/11/2022

Công ty Atlassian (Vương Quốc Anh) đã phát hành bản vá để khắc phục các lỗ hổng nghiêm trọng ảnh hưởng đến sản phẩm Bitbucket Server và Data Center. Đáng lưu ý, hai lỗ hổng CVE-2022-43781 và CVE-2022-43782 đều được xếp hạng nghiêm trọng có điểm CVSS 9/10.

Cập nhật bản vá lỗ hổng bảo mật tháng 10/2022

16:00 | 02/11/2022

Trung tuần tháng 10, Microsoft, Adobe và Samsung đã phát hành các bản vá cho các sản phẩm của hãng. Người dùng cần khẩn trương cài đặt các bản vá để phòng tránh rủi ro mất an toàn thông tin.

F5 vá lỗ hổng thực thi mã từ xa nghiêm trọng trong BIG-IP và BIG-IQ

10:00 | 24/11/2022

Các nhà nghiên cứu an ninh mạng đã phát hiện một số lỗ hổng nghiêm trọng cho phép kẻ tấn công thực thi mã từ xa ảnh hưởng đến sản phẩm của F5 là BIG-IP và BIG-IQ.

Tin cùng chuyên mục

Adobe mua video giá 3 USD/phút làm mô hình AI

13:00 | 16/04/2024

Adobe đã bắt đầu mua video để xây dựng công cụ AI chuyển ảnh thành video của mình, nhằm bắt kịp với các đối thủ như OpenAI.

Cập nhật bản vá lỗ hổng bảo mật tháng 3

07:00 | 29/03/2024

Trong tháng 3/2024, Microsoft, Adobe và Google lần lượt phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

5G Advanced - bước tiến mới trong công nghệ 5G

07:00 | 27/12/2023

Được kỳ vọng mang đến một cấp độ mới về nâng cao khả năng kết nối và các ứng dụng khác, 5G Advanced áp dụng trí tuệ nhân tạo (AI) và máy học (ML) sẽ hỗ trợ các ứng dụng tiên tiến với tính di động và độ tin cậy cao cũng như cải thiện hiệu suất mạng. 5G Advanced cũng sẽ mang đến những cải tiến về hiệu suất quang phổ và tiết kiệm năng lượng hơn. Những cải tiến đáng kể dự kiến 5G Advanced mang lại đó là hiệu suất 5G, hỗ trợ cho các phân khúc thị trường mới, mạng bền vững và tự động hóa mạng thông minh. Bài báo sau đây sẽ giới thiệu một số nét về 5G Advanced.

Microsoft ra mắt chip dành riêng cho AI

10:00 | 21/11/2023

Ngày 15/11, Microsoft công bố ra mắt bộ đôi chip điện toán thiết kế tùy chỉnh (Maia và Cobalt) dành cho AI, trong bối cảnh các công ty công nghệ lớn chạy đua tự phát triển chip nhằm giảm chi phí và tự chủ công nghệ lõi.