Grafana 任意文件读取漏洞(CVE-2021-43798)
时间:2023-03-17 15:26 来源:linux.it.net.cn 作者:IT
2021年12月7日,阿里云应急响应中心监测到 CVE-2021-43798 Grafana plugin 任意文件读取漏洞。
漏洞描述
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。2021年12月6日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。阿里云应急响应中心提醒 Grafana 用户尽快采取安全措施阻止漏洞攻击。
漏洞复现
阿里云安全专家已第一时间完成分析并复现
漏洞评级
CVE-2021-43798 Grafana plugin 任意文件读取漏洞 高危
影响版本
Grafana 8.3.x < 8.3.1
Grafana 8.2.x < 8.2.7
Grafana 8.1.x < 8.1.8
Grafana 8.0.x < 8.0.7
安全版本
Grafana 8.3.1
Grafana 8.2.7
Grafana 8.1.8
Grafana 8.0.7
安全建议
1、官方已于2021年12月8日发布新版本修复该漏洞,请尽快升级至安全版本。
2、使用阿里云安全组功能设置Grafana仅对可信地址开放
3、利用Nginx等代理或者负载均衡设备禁止含有 .. 的请求以进行临时防御。
相关链接
(责任编辑:IT)
2021年12月7日,阿里云应急响应中心监测到 CVE-2021-43798 Grafana plugin 任意文件读取漏洞。
漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。2021年12月6日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。阿里云应急响应中心提醒 Grafana 用户尽快采取安全措施阻止漏洞攻击。
漏洞复现 阿里云安全专家已第一时间完成分析并复现
漏洞评级 CVE-2021-43798 Grafana plugin 任意文件读取漏洞 高危
影响版本 Grafana 8.3.x < 8.3.1 Grafana 8.2.x < 8.2.7 Grafana 8.1.x < 8.1.8 Grafana 8.0.x < 8.0.7
安全版本 Grafana 8.3.1 Grafana 8.2.7 Grafana 8.1.8 Grafana 8.0.7
安全建议 1、官方已于2021年12月8日发布新版本修复该漏洞,请尽快升级至安全版本。 2、使用阿里云安全组功能设置Grafana仅对可信地址开放 3、利用Nginx等代理或者负载均衡设备禁止含有 .. 的请求以进行临时防御。
相关链接 (责任编辑:IT) |