漏洞介绍:
Grafana是一款用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,带有告警功能。目前使用grafana的公司有很多,如paypal、ebay、intel等。
2021年12月6日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。
该漏洞暂无补丁,目前为在野0day。
漏洞编号:
暂无
漏洞等级:
高危
漏洞影响范围:
Grafana 8.x 系列
漏洞修复方案:
截止2021年12月7日,官方尚未发布新版本,最新版本8.3.0仍受该漏洞影响。
建议修复方案:
设置如IP黑名单、白名单等访问策略。
漏洞复现:
(此为本地搭建的环境)
参考链接/信息来源: