释放双眼,带上耳机,听听看~!
2021年12月7日,本站安全专题监测到 CVE-2021-43798 Grafana plugin 任意文件读取漏洞。
漏洞描述
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。2021年12月6日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。本站安全专题提醒 Grafana 用户尽快采取安全措施阻止漏洞攻击。
漏洞复现
安全安全专家已第一时间完成分析并复现
漏洞评级
CVE-2021-43798 Grafana plugin 任意文件读取漏洞 高危
影响版本
Grafana 8.3.x < 8.3.1
Grafana 8.2.x < 8.2.7
Grafana 8.1.x < 8.1.8
Grafana 8.0.x < 8.0.7
安全版本
Grafana 8.3.1
Grafana 8.2.7
Grafana 8.1.8
Grafana 8.0.7
安全建议
1、官方已于2021年12月8日发布新版本修复该漏洞,请尽快升级至安全版本。
2、使用安全安全组功能设置Grafana仅对可信地址开放
3、利用Nginx等代理或者负载均衡设备禁止含有 .. 的请求以进行临时防御。
相关链接
1、https://avd.aliyun.com/detail?id=AVD-2021-916648
云盾云中心已可防护该类漏洞,并提供7天免费漏洞应急服务,为您争取漏洞修复时间,应急开通地址:云中心
安全云中心应急漏洞模块已支持对该漏洞一键检测
安全云中心已可防御此漏洞攻击
