Cụ thể, lỗ hổng định danh CVE-2022-31097 có điểm CVSS 7.3 do xác thực đầu vào không đúng bằng tính năng Unified Alerting. Kẻ tấn công được xác thực từ xa có thể khai thác lỗ hổng này để đưa tập lệnh độc hại vào trang Web, tập lệnh này sẽ được thực thi trong trình duyệt Web. Kẻ tấn công có thể sử dụng lỗ hổng để đánh cắp thông tin đăng nhập xác thực dựa trên cookie của nạn nhân.
Lỗ hổng ảnh hưởng đến Grafana Alerting được kích hoạt mặc định trong Grafana 9.0.
Thông tin chi tiết về lỗ hổng được công khai vào tháng 7 khi Grafana Labs tung ra các bản cập nhật cho các phiên bản bị ảnh hưởng, từ 8.0.0 đến 9.0.1.
Tuy nhiên đến cuối tháng 11, một thành viên cộng đồng Grafana đã báo cáo lỗ hổng stored XSS trong Grafana Alerting. Thực tế, lỗ hổng này được khai thác dựa trên lỗ hổng CVE-2022-31097 để nâng cấp đặc quyền từ Editor lên Admin bằng cách lừa quản trị viên được xác thực nhấp vào liên kết.
Người dùng đang sử dụng bản cài đặt bị ảnh hưởng bởi các lỗ hổng nói trên cần khẩn trương nâng cấp lên phiên bản mới nhất của hãng để tránh các rủi ro đáng tiếc).
Nguyễn Chân
(Theo securityonline)
16:00 | 30/11/2022
16:00 | 02/11/2022
10:00 | 24/11/2022
11:00 | 27/01/2023
Dell BIOS vừa công bố 4 lỗ hổng ảnh hưởng đến hàng triệu thiết bị Inspiron, Vostro, Alienware. Nếu khai thác thành công, có thể dẫn đến thực thi mã và đọc một số thông tin nhất định trên các hệ thống tồn tại các lỗ hổng này.
09:00 | 09/01/2023
Bộ giải pháp bảo mật cho Cloud của Skyhigh sẽ giúp các doanh nghiệp quản lý web, thống nhất các chính sách dữ liệu để trở nên dễ dàng cho việc tạo lập và thực thi, cung cấp cho doanh nghiệp một bảng điều khiển duy nhất để cung cấp khả năng hiển thị trên tất cả cơ sở hạ tầng.
17:00 | 08/12/2022
Cơ quan quản lý quyền riêng tư dữ liệu của Ireland đã áp đặt khoản tiền phạt 265 triệu euro (277 triệu USD) đối với gã khổng lồ truyền thông xã hội Facebook vào ngày 28/11, nâng tổng số tiền mà họ đã phạt tập đoàn mẹ Meta của Facebook trong 18 tháng gần nhất lên tới gần 1 tỷ euro.
16:00 | 09/11/2022
Mới đây, Microsoft đã phát hành bản vá lỗ hổng bảo mật tháng 11. Trong số 68 lỗ hổng, có 11 lỗ hổng được đánh giá nghiêm trọng cho phép leo thang đặc quyền, giả mạo hoặc thực thi mã từ xa.
16:00 | 09/11/2022 | Tin tức sản phẩm
08:00 | 07/11/2022 | GP ATM
10:00 | 19/09/2022|An toàn thông tin
15:00 | 16/09/2022|Tin tức sản phẩm
Sáng ngày 17/3/2023, tại Hà Nội đã diễn ra lễ phát động cuộc thi “Học sinh với An toàn thông tin” năm 2023 trên toàn quốc lần thứ hai. Cuộc thi do Hiệp hội An toàn thông tin Việt Nam chủ trì, phối hợp với các cơ quan, đơn vị có liên quan tổ chức. Năm nay, cuộc thi được sự bảo trợ của Bộ Giáo dục và Đào tạo, Bộ Thông tin và Truyền thông, Bộ Lao động - Thương binh và Xã hội; đồng hành trực tiếp là Vụ Giáo dục chính trị Công tác học sinh, sinh viên (Bộ GD&ĐT), Cục ATTT (Bộ TT&TT) và Cục Trẻ em (Bộ LĐTB&XH).
15:00 | 17/03/2023
