长亭百川云 - 文章详情

漏洞信息:《Grafana 未授权任意文件读取漏洞》

深潜之眼

65

2024-07-13

漏洞介绍:

    Grafana是一款用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,带有告警功能。目前使用grafana的公司有很多,如paypal、ebay、intel等。

2021年12月6日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。

该漏洞暂无补丁,目前为在野0day。

漏洞编号:

暂无

漏洞等级:

高危

漏洞影响范围:

Grafana 8.x 系列

漏洞修复方案:

截止2021年12月7日,官方尚未发布新版本,最新版本8.3.0仍受该漏洞影响。

建议修复方案:

设置如IP黑名单、白名单等访问策略。

漏洞复现:

(此为本地搭建的环境)

参考链接/信息来源:

twitter

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2