Grafana Enterprise データソースネットワーク制限のバイパス (CVE-2023-4399)

high Nessus プラグイン ID 186028

概要

リモートの Web サーバーで実行されている Web アプリケーションは、セキュリティがバイパスされる脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートホストで実行されている Grafana Enterprise のバージョンは、9.4.17より前の 9.4.x、9.5.13 より前の 9.5.x、10.0.9 より前の 10.0.x、または 10.1.5 より前の 10.1.x です。したがって、制限バイパスの脆弱性の影響を受けます。Grafana Enterprise では、リクエストセキュリティ機能により、管理者はインスタンスが特定のホストを呼び出さないように Grafana を構成できます。ただし、この制限によってリクエストアドレスの文字に使用されている punycode エンコーディングをバイパスする可能性があります。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Grafana 9.4.17、9.5.13、10.0.9、10.1.5 以降にアップグレードしてください

参考資料

http://www.nessus.org/u?6d6b9724

プラグインの詳細

深刻度: High

ID: 186028

ファイル名: grafana_cve-2023-4399.nasl

バージョン: 1.3

タイプ: remote

ファミリー: Web Servers

公開日: 2023/11/21

更新日: 2024/2/16

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 8.3

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-4399

CVSS v3

リスクファクター: High

基本値: 7.2

現状値: 6.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:grafana:grafana

必要な KB アイテム: installed_sw/Grafana Labs

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/10/12

脆弱性公開日: 2023/10/12

参照情報

CVE: CVE-2023-4399

IAVB: 2023-B-0087-S