简介
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
漏洞危害等级
高危
CVE 编号
CVE-2021-43798
FOFA查询
app="Grafana"
zoomeyes查询
app:"grafana"
影响范围
Grafana 8.3.x < 8.3.1
Grafana 8.2.x < 8.2.7
Grafana 8.1.x < 8.1.8
Grafana 8.0.x < 8.0.7
漏洞情况
<grafana_host_url>/public/plugins/<"plugin-id">
其中<"plugin-id">是任何已安装插件的插件 ID。
Grafana 8.x API存在任意文件读取漏洞,未经授权的攻击者可利用该漏洞读取目标服务器任意文件,可导致服务器敏感信息泄漏。
修复建议
建议部署Grafana的用户关注Grafana官方相关升级公告,尽快采取安全措施。
1、官方已于2021年12月8日发布新版本修复该漏洞,请尽快升级至安全版本。
2、配置访问控制策略,仅对允许白名单地址访问,避免Grafana资产在互联网暴露。
参考链接