阿里云漏洞库

中危 Grafana Graphite FunctionDescription 工具存在存储型 XSS 漏洞

CVE编号

CVE-2023-1410

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-03-15

漏洞描述

Grafana 是一款开源的数据可视化和监控工具，Graphite Function Description 工具是 Grafana 中的一个插件，用于提供对 Graphite 函数的说明文档。

Grafana 受影响版本中由于 FunctionEditorControls#FunctionEditorControlsProps 方法为对参数正确过滤，具有 Grafana 管理员权限的攻击者在创建 Graphite 数据源时可将恶意 js 代码注入到函数描述中，当 Grafana 用户将鼠标悬停在函数描述上时将加载攻击者控制的恶意代码。

解决建议

"升级Grafana到 8.5.22 或 9.2.15 或 9.3.11 或更高版本"

参考链接
https://github.com/grafana/bugbounty/security/advisories/GHSA-qrrg-gw7w-vp76
https://grafana.com/security/security-advisories/cve-2023-1410/
https://security.netapp.com/advisory/ntap-20230420-0003/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	grafana	grafana	*	From (excluding) 9.3.0	Up to (excluding) 9.3.11
	运行在以下环境
	应用	grafana	grafana	*	From (including) 8.0.0	Up to (excluding) 8.5.22
	运行在以下环境
	应用	grafana	grafana	*	From (including) 9.2.0	Up to (excluding) 9.2.15
	运行在以下环境
	系统	opensuse_Leap_15.4	wire	*		Up to (excluding) 9.16.6-150000.12.65.1
	运行在以下环境
	系统	opensuse_Leap_15.5	wire	*		Up to (excluding) 0.5.0-150000.1.12.3

攻击路径

本地
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

中危 Grafana Graphite FunctionDescription 工具存在存储型 XSS 漏洞

漏洞描述

解决建议

参考链接

受影响软件情况