【漏洞详情】
2021年12月7日,检测到国内安全公司发布了互联网上出现Grafana任意文件读取漏洞利用,攻击者可以通过将包含特殊目录遍历字符序列(../)的特制HTTP请求发送到受影响的设备来利用此漏洞。成功利用该漏洞的攻击者可以在目标设备上查看文件系统上的的任意文件。
经验证,截止到到情报发布日,Grafana 最新版本8.3.0 仍受该漏洞影响。
【风险评级】
中危
【影响范围】
Grafana 8.x
【修复建议】
1. 禁用包含../和plugins字符的漏洞利用路径访问
2. 禁止Grafana 的公网访问
3.使用waf产品可拦截该攻击
【参考链接】
https://cert.360.cn/warning/detail?id=4f2ade611da7d8876ae789eb6c8aa1ed
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安金融云
2021年12月8日