6月15日更新:cve - 2022 - 322756月14日的严重程度评分为7.5 HIGH。经过彻底的审查和相应的文件公共问题,我们确认我们的初步评估,即没有保密影响,因此也没有安全影响。我们正在与MITRE讨论重新考虑这个分数。
上周是CVE-2022-32276和CVE-2022-32275报告为影响Grafana的漏洞.在此之前,一名社区成员向Grafana安全团队提供了一份漏洞报告,我们将其评估为不影响UI安全的问题。我们已经回应了记者,并提出了公共问题来跟踪拟议的变化:
我们发现这些cve的存在是我们在社交媒体上对Grafana提及的定期筛选的一部分,并且能够识别出这些是我们之前在私下报道时驳回的说法。我们认为该记者仍然不相信我们解雇的理由,并公开了该报道。
我们不知道有任何证据支持这些安全漏洞的评估,并已联系MITRE对这些cve的有效性提出质疑。我们总结如下:
cve - 2022 - 32276
第一个CVE (CVE-2022-32276)声称“未经验证和已验证的用户可以使用随机关键参数发送虚假的快照查询请求,通过登录页面访问系统仪表板区域。”
这里的声明是,“未找到”快照页面位于Grafana的常规UI中,而不是登录页面,这是一个漏洞。
Grafana是一个单页应用程序,其中所有用户都可以使用完整的前端,无论是否经过身份验证。能够查看此页面并不表示后端为用户提供了任何级别的特权访问。因此,我们不认为这是一个安全漏洞。然而,我们同意“找不到页面”是一个令人困惑的用户体验问题,应该得到改进,我们已经打开了上面提到的问题来跟踪它。
cve - 2022 - 32275
第二个CVE (CVE-2022-32275)是同一报告的另一个变体,其中Grafana的404 not found页面也显示了通常仅在登录时才能看到的顶部和侧栏,对于已验证和未验证的用户都是如此。
复制的步骤包括引用较早的XSS漏洞和引用/ etc / passwd路径,操作系统常用来列出系统上的用户。尽管如此,重要的是要注意,该漏洞本身既没有XSS声明,也没有远程文件访问声明,我们也没有发现任何远程文件访问漏洞的迹象。
我们认为这也是一种令人困惑的用户体验,并且已经打开了上面提到的问题来跟踪它。
我们要感谢记者与我们和社区分享他们的报告,我们欢迎公众就上面提到的两个GitHub开放问题进行讨论。
报告安全问题
如果您认为发现了安全漏洞,请将报告发送至security@www.tubolov.com.此地址可用于Grafana Labs的所有开源和商业产品(包括但不限于Gbob电竞频道rafana、Grafana Cloud、Grafana Enterbob手机app官网prise和www.tubolov.com)。我们只能在这个地址接受漏洞报告。
请使用我们的PGP密钥加密您的信息给我们。密钥指纹为:
F988 7bea 027a 049f ae8e 5caa d125 8932 be24 c5ca
该密钥可从keyserver.ubuntu.com.
bob电竞频道Grafana实验室将给您发送回复,说明处理您报告的下一步步骤。在初步回复您的报告后,安全团队将向您通报修复和全面公告的进展,我们可能会要求您提供额外信息或指导。
重要的是:我们要求您在修复和公布漏洞之前不要公开漏洞,除非您已经收到Grafana实验室安全团队的回复,可以这样做。bob电竞频道
安全公告
我们维持一个我们博客上的安全类别,我们将始终发布包含安全补丁的任何补丁的摘要、补救和缓解细节。
你也可以订阅我们的RSS提要.
