2023年6月12日至6月19日Linode安全摘要

在本周的摘要中，我们将讨论以下内容：

• Hashicorp Vault跨站脚本漏洞
• Grafana 访问控制和竞赛条件漏洞
• PMM认证绕过漏洞

CVE-2023-2121: Hashicorp Vault跨站脚本攻击漏洞

背景介绍

Hashicorp Vault是一个开源工具，旨在安全地存储和管理现代IT环境中的敏感数据。它作为一个集中的秘密管理解决方案，提供了一种安全的方式来存储和访问密码、API 密钥、证书和其他类型的秘密。Vault使用加密、访问控制策略和审计功能的组合来保护敏感信息。Vault Enterprise是HashiCorp Vault的商业版本。它提供额外的功能和支持，为企业规模的部署量身定做。

脆弱性

该漏洞被追踪为CVE-2023-2121，是一个注入漏洞，允许通过键值向Vault Web UI注入HTML。受影响的产品包括自1.10.0以来的Vault和Vault Enterprise。

Vault 1.10.0引入了在Vault的Web UI中轻松审查kv-v2 （KV Secrets Engine）键值秘密的两个修订版之间的差异的能力。

一个对kv-v2秘密引擎挂载有写入权限的用户可以提供一个字符串，该字符串会被Vault的Web UI错误地消毒并呈现为原始HTML，导致HTML注入。

默认情况下，Vault的内容安全策略可以防止执行内联的JavaScript，因此可以防止通过这一载体进行跨网站脚本的暴露。Vault使用三个主要机制来防止跨站脚本；在后端进行强打字和输入验证，在前端进行框架提供的输出编码，以及一个限制性的、可定制的内容安全策略，默认包括脚本源 "self"。

应该指出的是，这个漏洞的影响很低，因为攻击者需要对kv-v2秘密引擎有写入权限，才能注入有效载荷。

缓解

• 强烈建议升级到Vault的补丁版本，即1.14.0、1.13.3、1.12.7和1.11.11，。

Grafana 访问控制和竞赛条件漏洞

背景介绍

Grafana 是一个开源的分析和互动可视化的网络应用程序。当连接到支持的数据源时，它为网络提供图表、图形和警报。Grafana 是一个流行的工具，用于监测和可视化各种来源的指标，包括Prometheus 、InfluxDB、Graphite和Elasticsearch。它还可以用来创建仪表盘，在一个视图中显示来自多个来源的数据。

漏洞

Grafana 9.5>9.5.3、9.4>9.4.12、9.3>9.3.15、9.0>9.2.19和8.0>8.5.26版本有几个漏洞，我们将介绍这些漏洞。

CVE-2023-2183：破解访问控制

Grafana 提供通过API 或Web UI用户面板发送警报的功能。

该漏洞被追踪为CVE-2023-2183，允许查看者角色的攻击者通过API Alert-Test功能发送警报。该问题的发生是因为API ，没有检查用户对API 警报功能的访问。在此POC中可以看到该漏洞被滥用。

这里要注意的一点是，这个选项在Viewer角色的用户面板UI中是不可用的，只能通过API 。

这个漏洞使恶意用户能够滥用功能，通过电子邮件、Slack和其他平台发送多个警报信息；向用户发送垃圾邮件；准备网络钓鱼攻击或阻止SMTP服务器/IP；或自动将所有信息移至垃圾邮件文件夹或添加到黑名单IP。

缓解

• 强烈建议升级到Grafana 的补丁版本，即9.5.3、9.4.12、9.3.15、9.2.19和8.5.26。
• 为了防止通过电子邮件发送垃圾邮件，可以考虑对SMTP服务器配置设置进行修改，限制每个单位时间/阈值向同一电子邮件地址发送多封电子邮件的能力。

CVE-2023-2801：DS代理竞赛条件

Grafana 提供了通过使用多个数据源的数据来创建混合查询的功能。例如，你可以创建一个混合查询，使用来自Prometheus 和InfluxDB的数据。公共仪表盘是Grafana 中的另一个功能，允许用户与你的组织以外的任何人分享仪表盘。

该漏洞被追踪为CVE-2023-2801，存在于Grafana 处理混合查询的方式。当Grafana 收到一个混合查询时，它试图依次对每个数据源执行查询。然而，如果查询是畸形的，这可能导致Grafana 崩溃。更具体地说，如果你向/ds/query或公共仪表盘查询端点发送一个API ，其中有混合查询，你会使你的Grafana 实例崩溃。现在，在Grafana 内使用混合查询的唯一功能是公共仪表板，但也有可能通过直接调用API 来导致这个问题。

注意：如果你启用了公共仪表板(PD)，该漏洞被Grafana ，评级为高。即使你已经禁用了PD，这个漏洞仍然会带来风险。然而，触发该问题需要数据源读取权限和通过开发人员脚本访问Grafana API 。

缓解

• 强烈建议升级到Grafana 的补丁版本，即9.5.3、9.4.12、9.3.15、9.2.19和8.5.26。
• 尽量避免使用公共仪表板的混合查询。

CVE-2023-34409: PMM认证绕过漏洞

背景介绍

Percona监控和管理（PMM）是一个监控和管理工具，适用于开源数据库，包括MySQL、PostgreSQL和MongoDB。它从你的数据库和主机收集指标，并在一个基于Web的仪表板上显示它们。PMM还包括故障排除、警报和性能优化等功能。

脆弱性

该漏洞被追踪为CVE-2023-34409，是PMM处理认证方式中存在的认证绕过漏洞。所有从2.0.0开始的PMM版本都被认为存在漏洞。

在有问题的PMM版本中，认证功能会剥离URL的片段，直到在其规则集中找到匹配的模式。该功能没有正确处理URL路径以拒绝路径遍历尝试。未认证的远程攻击者可通过向PMM提供畸形的URL来利用这一缺陷，从而绕过认证并访问PMM日志，导致敏感信息的泄露和潜在的权限升级。 

缓解

• 强烈建议升级到PMM的补丁版本，即2.37.1，特别是如果PMM实例可以直接从互联网上访问。