簡介?

?Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺。用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。

漏洞危害等級

高危

CVE 編號?

CVE-2021-43798

FOFA查詢

?app="Grafana"

?zoomeyes查詢

?app:"grafana"

?影響范圍

Grafana 8.3.x < 8.3.1

Grafana 8.2.x < 8.2.7

Grafana 8.1.x < 8.1.8

Grafana 8.0.x < 8.0.7

?漏洞情況

<grafana_host_url>/public/plugins/<“plugin-id”>

其中<“plugin-id”>是任何已安裝插件的插件 ID。

Grafana 8.x API存在任意文件讀取漏洞，未經授權的攻擊者可利用該漏洞讀取目標服務器任意文件，可導致服務器敏感信息泄漏。

修復建議

建議部署Grafana的用戶關注Grafana官方相關升級公告，盡快采取安全措施。

1、官方已于2021年12月8日發布新版本修復該漏洞，請盡快升級至安全版本。

2、配置訪問控制策略，僅對允許白名單地址訪問，避免Grafana資產在互聯網暴露。
?

參考鏈接

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/