Grafana Labs のセキュリティバイパス (CVE-2023-4822)
high Nessus プラグイン ID 184129
Language:
概要
リモートの Web サーバーで実行されているウェブアプリケーションは、セキュリティバイパス脆弱性の影響を受けます。説明
自己報告されたバージョン番号によると、リモートホストで実行されている Grafana Labs Enterprise エディションのバージョンは、9.4.17より前の 8.0.0、9.5.13 より前の 9.5.x、10.0.9 より前の 10.0.x、または 10.1.5 より前の 10.1.x です。したがって、セキュリティバイパスの脆弱性による影響を受けます。- この脆弱性は、複数の組織の Grafana インスタンスに影響を与えており、ある組織で組織管理者のアクセス許可を持つユーザーが、すべての組織の組織閲覧者、組織編集者、組織管理者のロールに関連するアクセス許可を変更する可能性があります。また、組織管理者は、任意のユーザーに対して持っているアクセス許可をグローバルに割り当てたり、取り消したりできます。つまり、組織管理者であれば、自分がすでに所属している組織で自分のアクセス許可を昇格させたり、他のユーザーのアクセス許可を昇格させたり制限したりできます。この脆弱性によって、ユーザーがまだメンバーになっていない組織のメンバーになったり、現在のユーザーがメンバーではない他のユーザーを組織に追加したりはできません。(CVE-2023-4822)Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Grafana 9.4.17、9.5.13、10.0.9、10.1.5 以降にアップグレードしてください参考資料
プラグインの詳細
深刻度: High
ID: 184129
ファイル名: grafana_cve-2023-4822.nasl
バージョン: 1.4
タイプ: remote
ファミリー: Web Servers
公開日: 2023/11/1
更新日: 2024/6/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 8.3
現状値: 6.1
ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C
CVSS スコアのソース: CVE-2023-4822
CVSS v3
リスクファクター: High
基本値: 7.2
現状値: 6.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:grafana:grafana
必要な KB アイテム: installed_sw/Grafana Labs
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/10/12
脆弱性公開日: 2023/10/12
参照情報
CVE: CVE-2023-4822
IAVB: 2023-B-0087-S