专栏名称: 天融信阿尔法实验室
天融信阿尔法实验室将不定期推出技术研究新方向成果,专注安全攻防最前沿技术
目录
相关文章推荐
乌兰察布云  ·  自治区名单公布!涉及乌兰察布这些学校和职业→ ·  16 小时前  
要资讯  ·  郑商所期货品种之烧碱(下) ·  16 小时前  
汇易咨询  ·  成本承压与替代需求萎缩 赖氨酸市场分化加剧 ·  22 小时前  
51好读  ›  专栏  ›  天融信阿尔法实验室

天融信关于Grafana任意文件读取漏洞风险提示

天融信阿尔法实验室  · 公众号  ·  · 2021-12-08 15:27

正文



0x00背景介绍



1 2 月8日,天融信阿尔法实验室监测到Grafana任意文件读取漏洞细节在网络公开,经手动验证,该漏洞可导致未经身份验证的远程攻击者读取服务器上的任意文件。

0x01 漏洞描述


Grafana 中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,可任意读取系统文件。Grafana的任意插件都可以触发,官方已发布补丁。

由于漏洞细节和POC已在网络公开,建议受影响的用户尽快安装安全补丁。


0x02受影响版本



CVE-2021-43798

0x03修复建议



Grafana 官方已发布相关安全补丁,建议用户下载并安装该安全补丁,下载链接如下所示:

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/







请到「今天看啥」查看全文