漏洞復現!Grafana信息泄露漏洞(CVE-2021-39226)
一顆小胡椒2021-12-08 17:30:39
0x01 漏洞描述
Grafana是Grafana實驗室的一套提供可視化監控界面的開源監控工具。該工具主要用于監控和分析Graphite、InfluxDB和Prometheus等。
Grafana 存在授權問題漏洞,該漏洞源于在受影響的版本中,未經身份驗證和身份驗證的用戶都可以通過訪問路徑:/dashboard/snapshot/:key或/api/snapshot/:key來查看具有最低數據庫鍵的快照。如果快照\"公共模式\"配置設置為true(而默認為false),未經身份驗證的用戶可以通過訪問路徑:/api/snapshot-delete:/deleteKey來刪除快照,并使用最低的數據庫鍵。無論快照的“公共模式”設置如何,通過身份驗證的用戶都可以刪除快照.
0x02 危害等級
高危:7.3
0x03 漏洞復現
2021年12月8日,360漏洞云安全專家已復現上述漏洞,演示如下:
CVE-2021-39226
完整POC代碼已在360漏洞云情報平臺(https://loudongyun.#/)發布,360漏洞云情報平臺用戶可通過平臺下載進行安全自檢。
0x04 影響版本
Grafana<=7.5.11
8.0.0<=Grafana<=8.1.6
0x05 修復建議
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://github.com/grafana/grafana/security/advisories/GHSA-69j6-29vr-p3j9
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
一顆小胡椒
暫無描述