Grafana 任意文件讀取漏洞

 漏洞資訊     |      2021-12-14

一、   漏洞描述

攻擊者可利用 Grafana 在獲取公共插件資產的相關函數(shù)中對于路徑參數(shù)的字符清理不當?shù)膯栴},通過構造惡意請求可造成目錄遍歷,讀取系統(tǒng)上的文件。

二、   漏洞詳情

CVE-2021-43798   : Grafana 任意文件讀取漏洞

CVE: CVE-2021-43798  

組件: Grafana

漏洞類型: 代碼問題

影響: 目錄遍歷

簡述: 見漏洞描述。

三、   影響版本


影響產品或系統(tǒng)版本

安全版本

Grafana

Grafana < 8.3.1

Grafana < 8.2.7

Grafana < 8.1.8

Grafana < 8.0.7

大于受影響版本

四、   安全版本

見三

五、  安全建議

通用修補建議:

廠商已發(fā)布補丁,用戶請盡快升級

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/