|
0x01 漏洞描述
Grafana 是 Grafana 实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析 Graphite、InfluxDB 和 Prometheus 等。
Grafana 存在授权问题漏洞,该漏洞源于在受影响的版本中,未经身份验证和身份验证的用户都可以通过访问路径:/dashboard/snapshot/:key 或 /api/snapshot/:key 来查看具有最低数据库键的快照。如果快照 \"公共模式 \" 配置设置为 true (而默认为 false),未经身份验证的用户可以通过访问路径:/api/snapshot-delete:/deleteKey 来删除快照,并使用最低的数据库键。无论快照的 “公共模式” 设置如何,通过身份验证的用户都可以删除快照.
0x02 危害等级
高危:7.3
0x03 漏洞复现
2021 年 12 月 8 日,360 漏洞云安全专家已复现上述漏洞,演示如下:
CVE-2021-39226
完整 POC 代码已在 360 漏洞云情报平台(https://loudongyun.360.cn/)发布,360 漏洞云情报平台用户可通过平台下载进行安全自检。
0x04 影响版本
Grafana<=7.5.11
8.0.0<=Grafana<=8.1.6
0x05 修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/grafana/grafana/security/advisories/GHSA-69j6-29vr-p3j9
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
————————————————
原文作者:一颗小胡椒
转自链接:https://www.wangan.com/p/7fy7472338e6e610
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
(责任编辑:IT) |