VDB-214618 · CVE-2022-46156 · GHSA-9j4f-f249-q5w8

Synthetic Monitoring Agent bis 0.11.x auf Grafana Remote Code Execution

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
5.8	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle in Synthetic Monitoring Agent bis 0.11.x für Grafana entdeckt. Sie wurde als kritisch eingestuft. Davon betroffen ist unbekannter Code. Die Bearbeitung verursacht eine unbekannte Schwachstelle. Diese Schwachstelle trägt die Bezeichnung CVE-2022-46156. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

In Synthetic Monitoring Agent bis 0.11.x auf Grafana wurde eine kritische Schwachstelle gefunden. CWE definiert das Problem als CWE-489. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. CVE fasst zusammen:

The Synthetic Monitoring Agent for Grafana's Synthetic Monitoring application provides probe functionality and executes network checks for monitoring remote targets. Users running the Synthetic Monitoring agent prior to version 0.12.0 in their local network are impacted. The authentication token used to communicate with the Synthetic Monitoring API is exposed through a debugging endpoint. This token can be used to retrieve the Synthetic Monitoring checks created by the user and assigned to the agent identified with that token. The Synthetic Monitoring API will reject connections from already-connected agents, so access to the token does not guarantee access to the checks. Version 0.12.0 contains a fix. Users are advised to rotate the agent tokens. After upgrading to version v0.12.0 or later, it's recommended that users of distribution packages review the configuration stored in `/etc/synthetic-monitoring/synthetic-monitoring-agent.conf`, specifically the `API_TOKEN` variable which has been renamed to `SM_AGENT_API_TOKEN`. As a workaround for previous versions, it's recommended that users review the agent settings and set the HTTP listening address in a manner that limits the exposure, for example, localhost or a non-routed network, by using the command line parameter `-listen-address`, e.g. `-listen-address localhost:4050`.

Die Schwachstelle wurde am 01.12.2022 als GHSA-9j4f-f249-q5w8 an die Öffentlichkeit getragen. Auf github.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 28.11.2022 mit CVE-2022-46156 vorgenommen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Ein Upgrade auf die Version 0.12.0 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches d8dc7f9c1c641881cbcf0a09e178b90ebf0f0228 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2024-2762) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Name

Synthetic Monitoring Agent

Version

Lizenz

Open-Source

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.9
VulDB Meta Temp Score: 5.8

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 3.3
NVD Vector: 🔍

CNA Base Score: 7.2
CNA Vector (GitHub, Inc.): 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Remote Code Execution
CWE: CWE-489
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Teilweise
Lokal: Ja
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Synthetic Monitoring Agent 0.12.0
Patch: d8dc7f9c1c641881cbcf0a09e178b90ebf0f0228

Timelineinfo

28.11.2022 🔍
01.12.2022 +3 Tage 🔍
01.12.2022 +0 Tage 🔍
14.06.2025 +926 Tage 🔍

Quelleninfo

Advisory: GHSA-9j4f-f249-q5w8
Status: Bestätigt

CVE: CVE-2022-46156 (🔍)
GCVE (CVE): GCVE-0-2022-46156
GCVE (VulDB): GCVE-100-214618
EUVD: 🔍

Eintraginfo

Erstellt: 01.12.2022 07:52
Aktualisierung: 14.06.2025 16:48
Anpassungen: 01.12.2022 07:52 (52), 25.12.2022 06:39 (11), 14.06.2025 16:48 (15)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

◂ Zurück Übersicht Weiter ▸

Do you know our Splunk app?

Download it now for free!