Cụ thể, lỗ hổng định danh CVE-2022-31097 có điểm CVSS 7.3 do xác thực đầu vào không đúng bằng tính năng Unified Alerting. Kẻ tấn công được xác thực từ xa có thể khai thác lỗ hổng này để đưa tập lệnh độc hại vào trang Web, tập lệnh này sẽ được thực thi trong trình duyệt Web. Kẻ tấn công có thể sử dụng lỗ hổng để đánh cắp thông tin đăng nhập xác thực dựa trên cookie của nạn nhân.
Lỗ hổng ảnh hưởng đến Grafana Alerting được kích hoạt mặc định trong Grafana 9.0.
Thông tin chi tiết về lỗ hổng được công khai vào tháng 7 khi Grafana Labs tung ra các bản cập nhật cho các phiên bản bị ảnh hưởng, từ 8.0.0 đến 9.0.1.
Tuy nhiên đến cuối tháng 11, một thành viên cộng đồng Grafana đã báo cáo lỗ hổng stored XSS trong Grafana Alerting. Thực tế, lỗ hổng này được khai thác dựa trên lỗ hổng CVE-2022-31097 để nâng cấp đặc quyền từ Editor lên Admin bằng cách lừa quản trị viên được xác thực nhấp vào liên kết.
Người dùng đang sử dụng bản cài đặt bị ảnh hưởng bởi các lỗ hổng nói trên cần khẩn trương nâng cấp lên phiên bản mới nhất của hãng để tránh các rủi ro đáng tiếc).
Nguyễn Chân
(Theo securityonline)
16:00 | 30/11/2022
16:00 | 02/11/2022
10:00 | 24/11/2022
09:00 | 19/03/2024
Vừa qua, nhà phân phối giải pháp và dịch vụ an toàn, an ninh mạng Mi2 JSC đã chính thức trở thành hội viên của Hiệp hội An ninh mạng quốc gia. Đây là bước tiến quan trọng đánh dấu cam kết của Mi2 trong việc góp phần bảo vệ an ninh mạng quốc gia và nâng cao vị thế của Công ty trên thị trường.
15:00 | 26/01/2024
Mới đây, Fortinet đã công bố giải pháp bảo mật mạng toàn diện đầu tiên và duy nhất trong ngành tích hợp Wifi 7 với tên gọi FortiAP 441K, mang đến tốc độ và dung lượng cao hơn; bộ chuyển mạch FortiSwitch T1024 mới được thiết kế nhằm đáp ứng khả năng truy cập Ethernet 10 Gigabit (10GbE) và công nghệ cấp nguồn qua Ethernet 90W đảm bảo hỗ trợ đầy đủ cho nhu cầu băng thông của Wifi 7.
13:00 | 14/12/2023
Trước kia trẻ em thường chỉ chịu sự ảnh hưởng giáo dục, thông tin tại gia đình và nhà trường. Tuy nhiên với thời đại công nghệ hiện nay, trẻ em còn có sự tác động và thông tin từ môi trường Internet. Thế giới ảo đã và đang tác động mạnh mẽ đến trẻ em với những rủi ro như bị xâm hại tình dục, lộ, lọt thông tin cá nhân, tin giả, bắt nạt qua mạng.... Chính vì vậy, phụ huynh và giáo viên được coi là lực lượng tiên phong, cần hỗ trợ và bảo vệ các em bằng việc cung cấp những thông tin, kiến thức và cách thức nói chuyện cũng như các bài giảng slide hữu ích dành cho trẻ.
08:00 | 04/12/2023
Người đứng đầu Kyber Elastic cũng cho biết Hiệp hội Blockchain Việt Nam là đối tác trong nước duy nhất trong quá trình giải quyết các vấn đề sau vụ tấn công trị giá hơn 1.100 tỷ đồng này.
Telegram đã sửa một lỗ hổng zero-day trong ứng dụng máy tính để bàn Windows có thể được sử dụng để vượt qua (bypass) các cảnh báo bảo mật và tự động khởi chạy các tập lệnh Python.
10:00 | 24/04/2024