2023年6月12日至6月19日Linode安全摘要

在本周的摘要中，我们将讨论以下内容：

• Hashicorp Vault跨站脚本漏洞
• Grafana 访问控制和竞赛条件漏洞
• PMM认证绕过漏洞

CVE-2023-2121: Hashicorp Vault跨站脚本攻击漏洞

背景介绍

Hashicorp Vault 是一款开源工具，旨在安全地存储和管理现代 IT 环境中的敏感数据。它是一个集中式秘密管理解决方案，提供了一种安全的方式来存储和访问密码、密钥、证书和其他类型的秘密、 API 密钥、证书和其他类型的机密。Vault 结合使用加密、访问控制策略和审计功能来保护敏感信息。Vault Enterprise 是 HashiCorp Vault 的商业版本。它为企业级部署提供额外的功能和支持。

脆弱性

该漏洞被追踪为CVE-2023-2121，是一个注入漏洞，允许通过键值向Vault Web UI注入HTML。受影响的产品包括自1.10.0以来的Vault和Vault Enterprise。

Vault 1.10.0引入了在Vault的Web UI中轻松审查kv-v2 （KV Secrets Engine）键值秘密的两个修订版之间的差异的能力。

一个对kv-v2秘密引擎挂载有写入权限的用户可以提供一个字符串，该字符串会被Vault的Web UI错误地消毒并呈现为原始HTML，导致HTML注入。

默认情况下，Vault的内容安全策略可以防止执行内联的JavaScript，因此可以防止通过这一载体进行跨网站脚本的暴露。Vault使用三个主要机制来防止跨站脚本；在后端进行强打字和输入验证，在前端进行框架提供的输出编码，以及一个限制性的、可定制的内容安全策略，默认包括脚本源 "self"。

应该指出的是，这个漏洞的影响很低，因为攻击者需要对kv-v2秘密引擎有写入权限，才能注入有效载荷。

缓解

• 强烈建议升级到Vault的补丁版本，即1.14.0、1.13.3、1.12.7和1.11.11，。

Grafana 访问控制和竞赛条件漏洞

背景介绍

Grafana 是一个开源的分析和互动可视化的网络应用程序。当连接到支持的数据源时，它为网络提供图表、图形和警报。Grafana 是一个流行的工具，用于监测和可视化各种来源的指标，包括Prometheus 、InfluxDB、Graphite和Elasticsearch。它还可以用来创建仪表盘，在一个视图中显示来自多个来源的数据。

漏洞

Grafana 9.5>9.5.3、9.4>9.4.12、9.3>9.3.15、9.0>9.2.19和8.0>8.5.26版本有几个漏洞，我们将介绍这些漏洞。

CVE-2023-2183：破解访问控制

Grafana 或 Web UI 用户面板发送警报的功能。 API 或 Web UI 用户面板发送警报的功能。

该漏洞被追踪为CVE-2023-2183，允许查看器角色的攻击者通过 API 警报测试功能发送警报。 API 出现这个问题是因为 API 出现此问题的原因是该漏洞没有检查用户对警报函数的访问权限。在此POC 中可以看到该漏洞被滥用。

需要注意的一点是，查看器角色的用户面板用户界面中没有该选项，只能通过 API.

这个漏洞使恶意用户能够滥用功能，通过电子邮件、Slack和其他平台发送多个警报信息；向用户发送垃圾邮件；准备网络钓鱼攻击或阻止SMTP服务器/IP；或自动将所有信息移至垃圾邮件文件夹或添加到黑名单IP。

缓解

• 强烈建议升级到Grafana 的补丁版本，即9.5.3、9.4.12、9.3.15、9.2.19和8.5.26。
• 为了防止通过电子邮件发送垃圾邮件，可以考虑对SMTP服务器配置设置进行修改，限制每个单位时间/阈值向同一电子邮件地址发送多封电子邮件的能力。

CVE-2023-2801：DS代理竞赛条件

Grafana 提供了通过使用多个数据源的数据来创建混合查询的功能。例如，你可以创建一个混合查询，使用来自Prometheus 和InfluxDB的数据。公共仪表盘是Grafana 中的另一个功能，允许用户与你的组织以外的任何人分享仪表盘。

该漏洞被追踪为CVE-2023-2801，存在于Grafana 处理混合查询的方式中。当Grafana 收到混合查询时，它会尝试依次对每个数据源执行查询。但是，如果查询是畸形的，就会导致Grafana 崩溃。更具体地说，如果您向 API 调用/ds/query 或具有混合查询的公共仪表盘查询端点，就会导致Grafana 实例崩溃。目前在Grafana 中使用混合查询的唯一功能是公共仪表板，但直接调用 API 直接调用

注意：如果启用了公共仪表盘（PD），则此漏洞被Grafana 评为 "高"。即使禁用了 PD，此漏洞仍会带来风险。不过，触发该问题需要数据源读取权限和通过开发人员脚本访问Grafana API 通过开发人员脚本。

缓解

• 强烈建议升级到Grafana 的补丁版本，即9.5.3、9.4.12、9.3.15、9.2.19和8.5.26。
• 尽量避免使用公共仪表板的混合查询。

CVE-2023-34409: PMM认证绕过漏洞

背景介绍

PerconaMonitoring and Management (PMM) 是一款用于监控和管理开源数据库（包括 MySQL、PostgreSQL 和 MongoDB）的工具。它收集数据库和主机的指标，并将其显示在基于 Web 的仪表板中。PMM 还包括故障排除、警报和性能优化功能。

脆弱性

该漏洞被追踪为CVE-2023-34409，是PMM处理认证方式中存在的认证绕过漏洞。所有从2.0.0开始的PMM版本都被认为存在漏洞。

在有问题的PMM版本中，认证功能会剥离URL的片段，直到在其规则集中找到匹配的模式。该功能没有正确处理URL路径以拒绝路径遍历尝试。未认证的远程攻击者可通过向PMM提供畸形的URL来利用这一缺陷，从而绕过认证并访问PMM日志，导致敏感信息的泄露和潜在的权限升级。 

缓解

• 强烈建议升级到PMM的补丁版本，即2.37.1，特别是如果PMM实例可以直接从互联网上访问。