2021年12月7日，阿里云应急响应中心监测到 CVE-2021-43798 Grafana plugin 任意文件读取漏洞。

漏洞描述

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。2021年12月6日，国外安全研究人员披露Grafana中某些接口在提供静态文件时，攻击者通过构造恶意请求，可造成目录遍历，读取系统上的文件。阿里云应急响应中心提醒 Grafana 用户尽快采取安全措施阻止漏洞攻击。

漏洞复现

阿里云安全专家已第一时间完成分析并复现

漏洞评级

CVE-2021-43798 Grafana plugin 任意文件读取漏洞 高危

影响版本

Grafana 8.3.x < 8.3.1

Grafana 8.2.x < 8.2.7

Grafana 8.1.x < 8.1.8

Grafana 8.0.x < 8.0.7

安全版本

Grafana 8.3.1

Grafana 8.2.7

Grafana 8.1.8

Grafana 8.0.7

安全建议

1、官方已于2021年12月8日发布新版本修复该漏洞，请尽快升级至安全版本。

2、使用阿里云安全组功能设置Grafana仅对可信地址开放

3、利用Nginx等代理或者负载均衡设备禁止含有 .. 的请求以进行临时防御。

相关链接

1、https://avd.aliyun.com/detail?id=AVD-2021-916648

2、https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/