Grafana 存在存储型 XSS 漏洞
漏洞描述
Grafana 是一款开源的数据可视化和监控分析平台。
该项目受影响版本存在存储型XSS漏洞,由于对用户传入Text的内容未进行过滤。具备Editor权限的远程攻击者可以在Text面板中输入paylaod,当其他用户编辑相同的Text面板,并单击Markdown或HTML后,Text中的paylaod会被浏览器渲染。
| 漏洞名称 | Grafana 存在存储型XSS漏洞 |
|---|---|
| 漏洞类型 | 跨站脚本 |
| 发现时间 | 2023-03-02 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2022-69791 |
| CVE编号 | CVE-2023-22462 |
| CNVD编号 | - |
影响范围
github.com/grafana/grafana@[9.2, 9.2.10)
github.com/grafana/grafana@[9.3, 9.3.4)
修复方案
升级github.com/grafana/grafana到9.2.10、9.3.4或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-69791
https://nvd.nist.gov/vuln/detail/CVE-2023-22462
https://github.com/grafana/grafana/commit/db83d5f398caffe35c5846cfa7727d1a2a414165、 Commit
https://github.com/grafana/grafana/security/advisories/GHSA-7rqg-hjwc-6mjf
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
CeresDB 1.0 正式发布,Rust 高性能云原生时序数据库
CeresDB 是一款高性能、分布式的云原生时序数据库,采用 Rust 编写。其开发团队近日宣布:经过近一年的开源研发工作,时序数据库 CeresDB 1.0 正式发布,达到生产可用标准。 CeresDB 1.0 官方中文文档:https://docs.ceresdb.io/cn/ CeresDB 1.0 核心特性介绍 存储引擎 支持列式混合存储 高效 XOR 过滤器 云原生分布式 实现了计算存储分离(支持 OSS 作为数据存储,WAL 实现支持 OBKV、Kafka) 支持 HASH 分区表 部署与运维 支持单机部署 支持分布式集群部署 支持 Prometheus + Grafana 搭建自监控 读写协议 支持 SQL 查询与写入 实现了 CeresDB 内置高性能读写协议,提供多语言 SDK 支持 Prometheus,可以作为 Prometheus 的 remote storage 进行使用 多语言读写 SDK 实现了四种语言的客户端SDK:Java、Python、Go、Rust CeresDB 架构介绍 CeresDB 是一个时序数据库,与经典时序数据库相比,CeresDB 的...
- 下一篇
Linux 的 VGEM 内核驱动程序正在用 Rust 重写
除了用 Rust 编写的 Apple M1/M2 DRM 内核图形驱动程序,现在又有第二个图形相关的内核驱动程序尝试使用 Rust —— 内核中的“VGEM”驱动程序正在用 Rust 编程语言重写。 VGEM(Virtual GEM) 是 Linux 4.1 版本引入的虚拟 GEM 提供者,作为最小的非硬件支持的图形执行管理器 (GEM) 内存管理服务已经存在了一段时间。它被 LLVMpipe 和其他非本机 3D 驱动程序方案用于缓冲区共享, 有利于提高软件光栅化器的性能。 在过去十年的大部分时间里,VGEM 一直是主线内核的一部分。但如今 VGEM 已不受关注,性能优化也不如新的硬件 GPU 驱动程序。但开源开发人员 Maíra Canal 最近开始尝试使用 Rust 重写 VGEM,作为直接渲染管理器 (DRM) 子系统中的第二款 Rust 驱动。 目前 Rust VGEM 工作仍处于早期阶段,但大多数 IGT 测试用例都已通过。希望了解更多 Rust VGEM 的朋友可以看到这篇博文。 2023 年采用 Rust 重写的案例越来越多,可延伸阅读: Cloudflare 使用 Ru...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Docker安装Oracle12C,快速搭建Oracle学习环境
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
微信收款码
支付宝收款码