Linux Distros 未修补的漏洞:CVE-2022-21702
medium Nessus 插件 ID 261269
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Grafana 是用于监控和观察的开源平台。在受影响的版本中,攻击者可通过 Grafana 数据源或插件代理提供 HTML 内容,并使用特制的链接诱骗用户访问此 HTML 页面,并执行跨站脚本 (XSS) 攻击。攻击者可以破坏特定 Grafana 实例的现有数据源,也可以设置其自己的公共服务并指示任何人在其 Grafana 实例中进行设置。受到影响的版本一定符合以下所有条件。对于数据源代理配置了以服务器作为访问模式和 URL 集的基于 Grafana HTTP 的数据源攻击者必须能够控制为上述数据源的 URL 提供服务的 HTTP 服务器以及指向攻击者的特别构建的链接必须由经过身份验证的用户点击受控数据源。对于插件代理使用 URL 集配置和启用的基于 Grafana HTTP 的应用插件攻击者必须能够控制为上述应用程序的 URL 提供服务的 HTTP 服务器并且必须指向攻击者控制的插件的特制链接由经过认证的用户登录。对于后端插件资源攻击者必须能够通过构建的链接将经过身份验证的用户导航到已遭入侵的插件。建议用户更新到安装补丁的版本。目前尚无针对此漏洞的变通方案。(CVE-2022-21702)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 261269
文件名: unpatched_CVE_2022_21702.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/9/4
最近更新时间: 2025/9/4
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
CVSS v2
风险因素: Low
基本分数: 2.1
时间分数: 1.6
矢量: CVSS2#AV:N/AC:H/Au:S/C:N/I:P/A:N
CVSS 分数来源: CVE-2022-21702
CVSS v3
风险因素: Medium
基本分数: 5.4
时间分数: 4.9
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:grafana, cpe:/o:canonical:ubuntu_linux:16.04:-:lts
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2022/2/8
参考资料信息
CVE: CVE-2022-21702