天融信关于Grafana任意文件读取漏洞风险提示

0x00背景介绍

1 2 月8日,天融信阿尔法实验室监测到Grafana任意文件读取漏洞细节在网络公开，经手动验证，该漏洞可导致未经身份验证的远程攻击者读取服务器上的任意文件。

0x01 漏洞描述

Grafana 中某些接口在提供静态文件时，攻击者通过构造恶意请求，可造成目录遍历，可任意读取系统文件。Grafana的任意插件都可以触发，官方已发布补丁。

由于漏洞细节和POC已在网络公开，建议受影响的用户尽快安装安全补丁。

0x02受影响版本

CVE-2021-43798

0x03修复建议

Grafana 官方已发布相关安全补丁，建议用户下载并安装该安全补丁，下载链接如下所示:

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/