grafana任意文件读取漏洞(cve-云顶国际

grafana任意文件读取漏洞(cve-云顶国际
云顶国际的公告
漏洞提醒

grafana任意文件读取漏洞(cve-2021-43798)预警提示

编辑:时间:2021/12/08点击数:

一、漏洞详情

grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,grafana可以在网络浏览器里显示数据图表和警告。

grafana 8.x api存在任意文件读取漏洞,未经授权的攻击者可利用该漏洞读取目标服务器任意文件,可导致服务器敏感信息泄漏。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

grafana 8.3.x < 8.3.1

grafana 8.2.x < 8.2.7

grafana 8.1.x < 8.1.8

grafana 8.0.x < 8.0.7

三、修复建议

建议部署grafana的用户关注grafana官方相关升级公告,尽快采取安全措施。

1、官方已于2021年12月8日发布新版本修复该漏洞,请尽快升级至安全版本。

2、配置访问控制策略,仅对允许白名单地址访问,避免grafana资产在互联网暴露。

参考链接:https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/


云顶国际亚洲唯一官网 copyright © 2019-2022.  南京农业大学信息化建设中心  all rights reserved.
地址:江苏省南京市玄武区卫岗1号  邮编:210095  电话:86-25-84396018

网站地图