リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2023:2917-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。ビューアーロールを持つユーザーは、ユーザーパネル UI からテストアラートを送信するオプションを利用できません。API はこの関数へのアクセスをチェックしないため、ビューアーロールを持つユーザーは、API を使用してテストアラートを送信できます。
    これにより、悪意のあるユーザーがこの機能を悪用して、複数のアラートメッセージを電子メールと Slack に送信したり、ユーザーにスパムを送信したりして、フィッシング攻撃を準備したり、SMTP サーバーをブロックしたりすることが可能です。ユーザーはバージョン 9.5.3、9.4.12、9.3.15、9.2.19、8.5.26 をアップグレードして、修正を受け取ることができます。(CVE-2023-2183)

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。パブリックダッシュボードを使用すると、ユーザーは混合クエリを使用して複数の異なるデータソースをクエリできます。ただし、このようなクエリでは Grfana インスタンスがクラッシュする可能性があります。現時点で混合クエリを使用する唯一の機能はパブリックダッシュボードですが、クエリ API を直接呼び出すことでこれを引き起こすことも可能です。これにより、悪意のあるユーザーがそのエンドポイントを介して Grafana インスタンスをクラッシュさせる可能性があります。ユーザーはバージョン 9.4.12および 9.5.3をアップグレードして、修正を受け取ることができます。
    (CVE-2023-2801)

  - Grafana は、メールのクレームに基づいて Azure AD アカウントを検証しています。Azure AD では、プロファイルのメールフィールドは一意ではなく、簡単に変更できます。これにより、Azure AD OAuth がマルチテナントアプリに設定されている場合、アカウント乗っ取りと認証バイパスが発生します。(CVE-2023-3128)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、652064ef-056f-11ee-8e16-6c3be5272acdのアドバイザリに記載されている脆弱性の影響を受けます。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。パブリックダッシュボードを使用すると、ユーザーは混合クエリを使用して複数の異なるデータソースをクエリできます。ただし、このようなクエリでは Grfana インスタンスがクラッシュする可能性があります。現時点で混合クエリを使用する唯一の機能はパブリックダッシュボードですが、クエリ API を直接呼び出すことでこれを引き起こすことも可能です。これにより、悪意のあるユーザーがそのエンドポイントを介して Grafana インスタンスをクラッシュさせる可能性があります。ユーザーはバージョン 9.4.12および 9.5.3をアップグレードして、修正を受け取ることができます。
    (CVE-2023-2801)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 7740 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。ビューアーロールを持つユーザーは、ユーザーパネル UI からテストアラートを送信するオプションを利用できません。API はこの関数へのアクセスをチェックしないため、ビューアーロールを持つユーザーは、API を使用してテストアラートを送信できます。
    これにより、悪意のあるユーザーがこの機能を悪用して、複数のアラートメッセージを電子メールと Slack に送信したり、ユーザーにスパムを送信したりして、フィッシング攻撃を準備したり、SMTP サーバーをブロックしたりすることが可能です。ユーザーはバージョン 9.5.3、9.4.12、9.3.15、9.2.19、8.5.26 をアップグレードして、修正を受け取ることができます。(CVE-2023-2183)

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。パブリックダッシュボードを使用すると、ユーザーは混合クエリを使用して複数の異なるデータソースをクエリできます。ただし、このようなクエリでは Grfana インスタンスがクラッシュする可能性があります。現時点で混合クエリを使用する唯一の機能はパブリックダッシュボードですが、クエリ API を直接呼び出すことでこれを引き起こすことも可能です。これにより、悪意のあるユーザーがそのエンドポイントを介して Grafana インスタンスをクラッシュさせる可能性があります。ユーザーはバージョン 9.4.12および 9.5.3をアップグレードして、修正を受け取ることができます。
    (CVE-2023-2801)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 9 ホストには、1 つ以上のパッケージがインストールされており、これらのパッケージは複数の脆弱性の影響を受けます。これらの脆弱性はベンダーによって認識されていますが、パッチが適用されません。

  - grafana: セッションコントロールの失敗により、情報漏洩が発生する可能性があります (CVE-2022-32275)

  - protobufjs: ユーザー制御の protobuf メッセージを使用したプロトタイプ汚染 (CVE-2023-36665)

  - 6.11.3 より前の protobufjs パッケージは、プロトタイプ汚染に対して脆弱です。これにより、攻撃者が、Object.prototype のプロパティを追加/変更する可能性があります。この脆弱性は、複数の方法で発生する可能性があります。1. util.setProperty または ReflectionObject.setParsedOption 関数に信頼できないユーザー入力を提供する場合。2. .proto ファイルを解析/ロードする場合。(CVE-2022-25878)

注意: Nessus はこれらの問題をテストしておらず、代わりにパッケージがインストールされているというパッケージマネージャーのレポートに依存しています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
178694	SUSE SLED15/ SLES15/ openSUSE 15 セキュリティ更新: SUSE Manager Client Tools (SUSE-SU-2023:2917-1)	Nessus	SuSE Local Security Checks	2023/7/21	2023/11/2	critical
176942	FreeBSD : Grafana -- Grafana DS プロキシの競合状態 (652064ef-056f-11ee-8e16-6c3be5272acd)	Nessus	FreeBSD Local Security Checks	2023/6/8	2023/6/14	medium
186760	RHEL 9: Red Hat Ceph Storage 6.1 (RHSA-2023: 7740)	Nessus	Red Hat Local Security Checks	2023/12/12	2024/6/3	medium
199090	RHEL 9: grafana (パッチ未適用の脆弱性)	Nessus	Red Hat Local Security Checks	2024/6/3	2024/6/19	critical

検出

プラグインの検索

critical

medium

medium

critical