Grafana 拒绝服务漏洞(CVE-2023-2801)

漏洞描述:
Grafana是一个用于监控和可观测性的开源平台。使用公共仪表板，用户可以使用混合查询查询多个不同的数据源。然而，这样的查询有可能导致Grafana实例崩溃。目前唯一使用混合查询的功能是公共仪表板，但也可以通过直接调用查询API来实现。这可能使恶意用户能够通过该端点使Grafana实例崩溃。

利用条件:
1. 攻击者需要知道目标Grafana实例的URL和查询API的接口。
2. 攻击者需要发送恶意查询请求，包含导致Grafana实例崩溃或无响应的混合查询语句。
3. 目标Grafana实例需要运行受影响的版本，且开启了公共仪表板和查询API的访问权限。
4. 攻击者需要具备足够的网络访问权限，能够向目标Grafana实例发送恶意查询请求。
5. 攻击者需要能够绕过目标Grafana实例的安全防御机制，例如身份验证、访问控制等。

漏洞利用可能性:待研判
影响版本:待研判
修复方法:
用户可以升级到9.4.12和9.5.3版本以获得修复。
参考:https://github.com/grafana/grafana/security


Grafana 身份认证绕过漏洞(CVE-2023-2183)

漏洞描述:
Grafana是一个用于监控和可观测性的开源平台。对于具有查看器角色的用户，发送测试警报的选项在用户面板UI中不可用。具有查看器角色的用户仍然可以使用API发送测试警报，因为API不检查对此函数的访问。这可能会使恶意用户滥用该功能，向电子邮件和Slack发送多条警报消息，向用户发送垃圾邮件，准备网络钓鱼攻击或阻止SMTP服务器。

利用条件:需要低权限
需要用户交互
漏洞利用可能性:待研判
影响版本:待研判
修复方法:用户可以升级到9.5.3、9.4.12、9.3.15、9.2.19和8.5.26版本以获得修复。
参考:https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p