Grafana 未经授权任意访问漏洞（CVE-2022-32275）

CVE-2022-32275漏洞是由于Grafana存在未授权访问漏洞，攻击者可以通过特定url，访问任意用户系统界面及读取任意文件。该漏洞影响范围一般。该问题已在新版本中修复，建议用户更新到最新版本。

编号	CVE-2022-32275
标题	Grafana 未经身份验证漏洞
描述	Grafana是一个开源的可视化和分析平台。在 8.4.3 版本，Grafana允许通过 /dashboard/snapshot/%7B%7Bconstructor.constructor’/… /… /… /… /… /… /… /… /etc/passwd URI 读取文件等。攻击者可利用该漏洞读取任意文件。
发布时间	2022/6/6
漏洞级别	高危
影响组件	Grafana
影响范围	一般

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2022-32275
MISC:https://github.com/BrotherOfJhonny/grafana/blob/main/README.md

    
  

【使用墨菲安全的开源工具帮您快速检测代码安全】
墨菲安全旗下开源组件安全检测产品，为帮助每一个开发者更安全的使用开源代码，核心引擎已开源，欢迎广大开发者使用！

开源地址：https://github.com/murphysecurity/murphysec
产品官网：https://murphysec.com
IDE插件：欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件，一键检测一键修复～

CLI工具：

控制台详情：

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等，丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。

【关于墨菲安全实验室】
墨菲安全实验室是墨菲未来科技旗下的安全研究团队，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。