Grafana 任意文件读取漏洞分析与汇总(CVE-2021-43798)

漏洞描述:

Grafana存在任意文件读取漏洞,通过默认存在的插件,可构造特殊的请求包读取服务器任意文件。

漏洞利用条件:

通过使用../等目录控制序列或者文件的绝对路径来访问存储在文件系统上的任意文件和目录,特别是应用程序源代码、配置文件、重要的系统文件等

漏洞影响范围:

Grafana 8.x 系列

漏洞复现:

1.poc:/public/plugins/welcome/../../../../../../../../../etc/passwd

Grafana 任意文件读取漏洞分析与汇总(CVE-2021-43798)_第1张图片

 

修复建议:

1.升级到最新版本
2.若无法及时更新,可设置Grafana仅对可信地址开放,即白名单访问;禁止系统对公网开放。

学习记录过程,仅供参考!!!

你可能感兴趣的:(漏洞复现,grafana,安全,网络)