0°

预警Grafana 任意文件读取漏洞(CVE-2021-43798)

202112月7日,本站安全专题监测到 CVE-2021-43798 Grafana plugin 任意文件读取漏洞

漏洞描述

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。2021126日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。本站安全专题提醒 Grafana 用户尽快采取安全措施阻止漏洞攻击。

漏洞复现

安全安全专家已第一时间完成分析并复现

漏洞评级

CVE-2021-43798 Grafana plugin 任意文件读取漏洞 高危

影响版本

Grafana 8.3.x < 8.3.1

Grafana 8.2.x < 8.2.7

Grafana 8.1.x < 8.1.8

Grafana 8.0.x < 8.0.7

安全版本

Grafana 8.3.1

Grafana 8.2.7

Grafana 8.1.8

Grafana 8.0.7

安全建议

1、官方已于2021年12月8日发布新版本修复该漏洞,请尽快升级至安全版本。

2、使用安全安全组功能设置Grafana仅对可信地址开放

3、利用Nginx等代理或者负载均衡设备禁止含有 .. 的请求以进行临时防御。

相关链接

1、https://avd.aliyun.com/detail?id=AVD-2021-916648

2、https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/

云盾云中心已可防护该类漏洞,并提供7天免费漏洞应急服务,为您争取漏洞修复时间,应急开通地址:云中心

安全云中心应急漏洞模块已支持对该漏洞一键检测

安全云中心已可防御此漏洞攻击

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!