远程 Debian 10 主机上安装的程序包受到 dla-3309 公告中提及的多个漏洞影响。

  - 在 Graphite Web 中发现一个归类为“存在问题”的漏洞。此漏洞会影响 Cookie Handler 组件的未知代码。该操纵会导致跨站脚本漏洞。攻击可从远程发起。该漏洞已被公开并可被使用。修补程序的名称为 2f178f490e10efc03cd1d27c72f64ecab224eb23。建议应用补丁修复此问题。
    此漏洞获派的标识符为 VDB-216742。(CVE-2022-4728)

  - 在 Graphite Web 中发现一个归类为“存在问题”的漏洞。此问题会影响 Template Name Handler 组件的某些未知处理。该操纵会导致跨站脚本漏洞。攻击可从远程发起。该漏洞已被公开并可被使用。修补程序的名称为 2f178f490e10efc03cd1d27c72f64ecab224eb23。建议应用补丁修复此问题。此漏洞的相关标识符为 VDB-216743。(CVE-2022-4729)

  - 在 Graphite Web 中发现一个漏洞。已将此漏洞归类为“有问题”。受影响的是 Absolute Time Range Handler 组件的未知函数。该操纵会导致跨站脚本漏洞。可以远程发起攻击。该漏洞已被公开并可被使用。
    修补程序的名称为 2f178f490e10efc03cd1d27c72f64ecab224eb23。建议应用补丁修复此问题。此漏洞的标识符为 VDB-216744。(CVE-2022-4730)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Debian DLA-3309-1：graphite-web - LTS 安全更新

medium Nessus 插件 ID 171060

版本 1.1

版本 1.0

版本 1.1 Sep 5, 2023, 4:12 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202309051612
版本 1.0 Feb 7, 2023, 8:04 AM New Plugin Feed: 202302070804