CVE-2022-46146— Prometheus 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2022-46146の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Prometheus Exporter Toolkit vulnerable to basic authentication bypass
ソース: NVD (National Vulnerability Database)
脆弱性説明
Prometheus Exporter Toolkit is a utility package to build exporters. Prior to versions 0.7.2 and 0.8.2, if someone has access to a Prometheus web.yml file and users' bcrypted passwords, they can bypass security by poisoning the built-in authentication cache. Versions 0.7.2 and 0.8.2 contain a fix for the issue. There is no workaround, but attacker must have access to the hashed password to use this functionality.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
认证算法的不正确实现
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Prometheus 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Prometheus是一款使用Go语言编写的、用于记录使用HTTP拉模型构建的时间序列数据库中实时指标的开源软件。 Prometheus Exporter Toolkit 0.7版本至0.7.2之前版本、0.8版本至0.8.2之前版本存在安全漏洞。攻击者利用该漏洞获取文件和用户的加密密码。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| prometheus | exporter-toolkit | < 0.7.2 | - |
II. CVE-2022-46146の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2022-46146のインテリジェンス情報
请登录查看更多情报信息。
- https://security.gentoo.org/glsa/202401-15vendor-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2022-46146
IV. 関連脆弱性
同じベンダー: prometheus
- CVE-2026-42154
Prometheus: remote read endpoint allows denial of service vi - CVE-2026-42151
Prometheus Azure AD remote write OAuth client secret exposed - CVE-2026-40179
Prometheus: Stored XSS via metric names and label values in - CVE-2023-40577
Alertmanager UI is vulnerable to stored XSS via the /api/v1/ - CVE-2022-21698
Uncontrolled Resource Consumption in promhttp
同じ弱点: CWE-303
- CVE-2026-33190
CoreDNS TSIG authentication bypass on encrypted DNS transpor - CVE-2026-27656
Account Takeover via Substring Matching in OpenID Connect Au - CVE-2026-32953
Tillitis: TKey Client has an Error in Protocol Implementatio - CVE-2026-29515
MiCode FileExplorer SwiFTP Server Authentication Bypass - CVE-2019-25436
Sricam DeviceViewer 3.12.0.1 Password Change Security Bypass
V. CVE-2022-46146へのコメント
まだコメントはありません