engineering on Grafana Labs
·
Grafana安全更新:修复CVE-2024-6837中等严重性安全漏洞
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
Grafana发布了11.1.4、11.0.3和10.4.7版本,修复了Swagger API文档中的安全漏洞(CVE-2024-6837)。该漏洞可能导致XSS攻击,属于中等严重性。已通知提供Grafana Cloud Pro的云服务提供商,并确认其服务是安全的。建议用户升级到修复版本并实施内容安全策略。还提供了安全问题的事件时间表和报告流程。
🎯
关键要点
- Grafana发布了11.1.4、11.0.3和10.4.7版本,修复了CVE-2024-6837安全漏洞。
- 该漏洞属于中等严重性,可能导致XSS攻击。
- 已通知云服务提供商,确认其Grafana Cloud Pro服务是安全的。
- 建议用户尽快升级到修复版本,并实施内容安全策略。
- CVE-2024-6837漏洞允许通过Swagger API文档注入任意HTML内容。
- 攻击者可能窃取会话cookie或以登录用户的身份与Grafana API交互。
- 受影响的版本包括Grafana 10.4.0至10.4.6、11.0.0至11.0.2、11.1.0至11.1.3。
- 建议用户尽快升级到修复版本,并实施内容安全策略以阻止外部脚本执行。
- 提供了安全问题的事件时间表和报告流程。
- Grafana Labs会对安全报告进行回复,并保持进展更新。
➡️
