Grafana 未授权任意文件读取

CVE: 暂无

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 文件读取

漏洞等级: 高危

年份: 2022

POC_ID: 80

漏洞描述

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。

FOFA 语句

系统自动生成（不一定准确）：app="Grafana"

影响范围

Grafana 8.*,<=8.3.0

漏洞详情

关于该漏洞的详情见:https://mp.weixin.qq.com/s/dqJ3F_fStlj78S0qhQ3Ggw

漏洞 POC

登录后可查看漏洞 POC。请先登录或注册。

修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

参考来源

- https://forum.ywhack.com/thread-117162-1-1.html