Grafana 任意文件读取 0day 漏洞的紧急预警
发布时间:2021-12-10
点击数:
一、安全预警
近期,发现 Grafana 任意文件读取 0day 漏洞。Grafana 是一 个跨平台、开源的数据可视化网络应用程序平台。用户配置连接 的数据源之后,Grafana 可以在网络浏览器里显示数据图表和警 告。应用范围较广,因此威胁影响范围较大。 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
事件名称:Grafana 任意文件读取 0day 漏洞
威胁类型:任意文件读取
威胁等级:高
受影响的应用版本: Grafana 8.x <= 8.3.0
(二)漏洞描述
Grafana 在解析插件路由的时候没有对输入进行有效过滤, 导致未经身份验证的远程攻击者读取服务器上的任意文件。
(三)影响范围
Grafana 8.x <= 8.3.0
三、防范建议
(一)解决方案
1、目前暂无相关补丁,请时刻关注官方动态,获取最新版 本,链接如下: https://github.com/grafana/grafana/releases、https://grafana.com/
2、临时缓解措施: 限制同时含有 plugins 和 grafana 和../的路径访问。 若非必要,请禁止 Grafana 的公网访问。
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请您第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危 害
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接