(修复方案)CVE-2021-43798: Grafana路径遍历漏洞

世界尽头与你2026-02-03 8:03

(修复方案)CVE-2021-43798: Grafana路径遍历漏洞

  • [1. 升级版本修复](#1. 升级版本修复)
  • [2. 使用代理拦截掉漏洞利用的接口](#2. 使用代理拦截掉漏洞利用的接口)

1. 升级版本修复

该漏洞影响所有 Grafana 8.0.0-beta1 至 8.3.0 版本,可升级 Grafana 为更高版本修复此漏洞。

参考链接:

https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

2. 使用代理拦截掉漏洞利用的接口

使用 nginx 前置代理拦截掉一些漏洞利用的请求,作为缓解漏洞的方法

因为漏洞要利用Grafana 静态插件路径,所以限制 Grafana 静态插件路径的请求不能带有任何 ../ 的请求即可:

bash 复制代码 
location ~ ^/public/plugins/ {
    if ($request_uri ~ "\.\.") {
        return 403;
    }
}
相关推荐
aaaffaewrerewrwer6 小时前
免费在线 AVIF 转 WebP 工具推荐(支持批量转换 + 浏览器本地处理 + 无需上传)
安全·个人开发
zhengfei6116 小时前
【渗透工具】Payloader — 渗透测试辅助平台(payload一键所有)
网络·安全·web安全
Multipath7128 小时前
无人区不掉线:多链路聚合路由,为环塔拉力赛筑起“空中通讯走廊”
网络·5g·安全·无人机·实时音视频
知识浅谈9 小时前
人工智能日报 每日AI新闻(2026年6月8日):OpenAI安全加码、苹果AI升级前夜与国产AI应用落地
人工智能·安全·chatgpt
上海云盾-小余10 小时前
接口高频恶意刷取怎么防?网关限流搭配 WAF 联合防护方案
网络·安全
持敬chijing13 小时前
Web渗透之SQL注入-二次注入(Second-Order SQL Injection)
sql·安全·web安全·网络安全·网络攻击模型·安全威胁分析
AI帮小忙13 小时前
主机安全排查
linux·服务器·安全
AI人工智能+电脑小能手13 小时前
【大白话说Java面试题 第102题】【并发篇】第2题:volatile 能否保证线程安全?
java·安全·面试
laoli_coding14 小时前
数据机密性保护算法汇总(国际算法)
安全·网络安全·密码学
Lyyaoo.14 小时前
【数据结构】HashMap底层存储+扩容机制+线程安全【待更新】
数据结构·安全·哈希算法
热门推荐
01GitHub 镜像站点02【AI】2026 年具身智能模型和世界模型总结03Codex 下载安装指南:Windows 和 macOS 官方版下载042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试09CC-Switch & Claude 基于 Linux 服务器安装使用指南10AI科技热点日报 | 2026年6月1日