正文

【漏洞通告】Grafana 任意文件读取漏洞(CVE-2021-43798)

admin
admin V管理员 /0 评论 /17 阅读
0410
此篇文章发布距今已超过1124天,您需要注意文章的内容或图片是否可用!

202112月7日,阿里云应急响应中心监测到 CVE-2021-43798 Grafana plugin 任意文件读取漏洞


漏洞描述

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。2021126日,国外安全研究人员披露Grafana中某些接口在提供静态文件时,攻击者通过构造恶意请求,可造成目录遍历,读取系统上的文件。阿里云应急响应中心提醒 Grafana 用户尽快采取安全措施阻止漏洞攻击。


漏洞复现

阿里云安全专家已第一时间完成分析并复现



漏洞评级

CVE-2021-43798 Grafana plugin 任意文件读取漏洞 高危


影响版本

Grafana 8.3.x < 8.3.1

Grafana 8.2.x < 8.2.7

Grafana 8.1.x < 8.1.8

Grafana 8.0.x < 8.0.7


安全版本

Grafana 8.3.1

Grafana 8.2.7

Grafana 8.1.8

Grafana 8.0.7


安全建议

1、官方已于2021年12月8日发布新版本修复该漏洞,请尽快升级至安全版本。

2、使用阿里云安全组功能设置Grafana仅对可信地址开放

3、利用Nginx等代理或者负载均衡设备禁止含有 .. 的请求以进行临时防御。



相关链接

1、https://avd.aliyun.com/detail?id=AVD-2021-916648

2、https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/


云盾WAF已可防护该类漏洞,并提供7天免费漏洞应急服务,为您争取漏洞修复时间,应急开通地址:https://c.tb.cn/I3.XzCtR

阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测

阿里云云防火墙已可防御此漏洞攻击



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单联系反馈。


阿里云应急响应中心

2021.12.7