漏洞描述
Grafana 是一个开源的可观察性和数据可视化平台。
Grafana 的受影响版本中存在插件签名验证不当漏洞,即使在禁止使用未签名插件的条件下,攻击者也可利用此漏洞诱导受害者下载并成功运行恶意插件,不从不受信任的来源下载并安装插件可缓解此漏洞。
| 漏洞名称 | Grafana 密码签名验证不恰当漏洞 |
|---|---|
| 漏洞类型 | 密码学签名的验证不恰当 |
| 发现时间 | 2022-10-13 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2022-11153 |
| CVE编号 | CVE-2022-31123 |
| CNVD编号 | - |
影响范围
grafana/grafana@[9.0.0, 9.1.8)
grafana/grafana@(-∞, 8.5.14)
修复方案
将组件 grafana/grafana 升级至 9.1.8 及以上版本
将组件 grafana/grafana 升级至 8.5.14 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-11153
https://nvd.nist.gov/vuln/detail/CVE-2022-31123
https://github.com/grafana/grafana/security/advisories/GHSA-rhxj-gh46-jvw8
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
