Grafana 路径遍历所有路径 CVE-2021-43798漏洞预警

简介​

​Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。

漏洞危害等级

高危

CVE 编号​

CVE-2021-43798

FOFA查询

​app="Grafana"

​zoomeyes查询

​app:"grafana"

​影响范围

Grafana 8.3.x < 8.3.1

Grafana 8.2.x < 8.2.7

Grafana 8.1.x < 8.1.8

Grafana 8.0.x < 8.0.7

​漏洞情况

<grafana_host_url>/public/plugins/<"plugin-id">

其中<"plugin-id">是任何已安装插件的插件 ID。

Grafana 8.x API存在任意文件读取漏洞,未经授权的攻击者可利用该漏洞读取目标服务器任意文件,可导致服务器敏感信息泄漏。

修复建议

建议部署Grafana的用户关注Grafana官方相关升级公告,尽快采取安全措施。

1、官方已于2021年12月8日发布新版本修复该漏洞,请尽快升级至安全版本。

2、配置访问控制策略,仅对允许白名单地址访问,避免Grafana资产在互联网暴露。

参考链接

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/

相关推荐
软件测试-阿涛9 小时前
【性能测试】Jmeter+Grafana+InfluxDB+Prometheus Windows安装部署教程
测试工具·jmeter·性能优化·压力测试·grafana·prometheus
lpt1111111112 天前
prometheus + grafana 搭建
java·grafana·prometheus
c_zyer4 天前
Kafka监控体系搭建:基于Prometheus+JMX+Grafana的全方位性能观测方案
kafka·grafana·prometheus·jmx
文人sec4 天前
性能测试-从0到1搭建性能测试环境Jmeter+Grafana+influxDB+Prometheus+Linux
jmeter·grafana·prometheus
风清再凯4 天前
prometheus UI 和node_exporter节点图形化Grafana
ui·grafana·prometheus
奈斯ing6 天前
【Prometheus+Grafana篇】监控通过Keepalived实现的MySQL HA高可用架构
mysql·架构·grafana·prometheus
元媛媛6 天前
什么是 ELK/Grafana
elk·jenkins·grafana
bug攻城狮10 天前
SpringBoot+Loki4j+Loki+Grafana搭建轻量级日志系统
spring boot·jenkins·grafana
core51212 天前
prometheus+grafana接入nginx实战
nginx·grafana·prometheus·监控·接入·vts·vtx
bug攻城狮12 天前
理解Grafana中`X-Scope-OrgID`的作用与配置
windows·grafana