1. 漏洞概述
Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。需要注意的是该漏洞并不依赖于某个特定的插件,而是因为 Grafana在解析插件路由的时候没有对输入进行有效过滤造成的任意文件读取。
2. 漏洞影响
| Grafana | 是否受影响 |
|---|---|
| 8.x | 是 |
3. 漏洞复现
本地搭建Grafana v8.2.6环境(搭建流程此处不再阐述),搭建后访问如下:
访问http://127.0.0.1:3001/login抓包,更改原始请求
> exp:/public/plugins/welcome/../../../../../../../../../etc/hosts
成功读取hosts文件,如下
3. 影响统计
fofa搜索国内使用Grafana总数,近3w+
4、整改建议
**非必要禁止对外开放该服务。**