Grafana 8.4.3中发现了一个漏洞,此漏洞影响组件Dashboard的未知代码块。使用未知输入进行操作会导致目录遍历漏洞。
漏洞于 2022 年 6 月 7 日发布。自 2022 年 6 月 3 日起,此漏洞被命名为CVE-2022-32275,exp似乎很容易。
但这个漏洞的真实存在,目前仍有疑问。
下面是对该Grafana 8.4.3版本的测试以及官方的回应。
环境准备
Grafana个人版下载地址为:
https://grafana.com/grafana/download?pg=get&plcmt=selfmanaged-box1-cta1可根据我们需要测试的机型进行选择,这里为方便快捷我选的Windows。
安装步骤没啥特别的,一直下一步即可
安装完毕后访问3000端口,默认的账号密码为admin,admin,如出现如下页面,即为配置成功。
至此,环境搭建完毕。
CVE-2022-32276
漏洞简述
未经身份验证和经过身份验证的用户可以使用随机密钥参数发送错误的快照查询请求,通过登录页面访问系统仪表板区域。
-
测试版本:8.4.3
-
易受攻击目录的未经身份验证的用户可以输入随机 ID 值,从而允许
“未经身份验证访问系统”页面。使用的参数:/dashboard/snapshot/*?orgId=1 /invite/: -
未经身份验证的快照列表访问
-
未经身份验证的仪表板菜单访问
-
未经身份验证的过滤器菜单访问
官方回应
CVE-2022-32276声称“未经身份验证和经过身份验证的用户可以使用随机密钥参数发送错误的快照查询请求,通过登录页面访问系统仪表板区域。”
这里的说法是,快照的 not found 页面位于 Grafana 的常规 UI 而不是登录页面中的一个漏洞。
Grafana 是一个单页应用程序,其中完整的前端可供任何用户使用,无论是否经过身份验证。能够查看此页面并不表示后端正在为用户提供任何级别的特权访问。因此,他们不同意这是一个安全漏洞,但同意“未找到页面”是一个令人困惑的用户体验问题,应该加以改进。
CVE-2022-32275
漏洞简述
404 提示失败不是路径遍历,而是会话控制失败。当遍历路径被探索时,身份验证系统重定向到一个内部系统页面,该页面只能由经过身份验证的用户访问。
测试版本:8.4.3
/dashboard/snapshot/%7B%7Bconstructor.constructor'/.. /.. /.. /.. /.. /.. /.. /.. /etc/passwd
官方回应
CVE-2022-32275 是另一个变体,Grafana 的 404 not found 页面还显示了通常仅在登录时才能看到的顶部和侧边栏——对于经过身份验证和未经身份验证的用户都是如此。
重现的步骤包括对早期 XSS 漏洞的引用,并引用/etc/passwd操作系统常用的路径来列出系统上的用户。尽管如此,要注意的是,漏洞本身既没有 XSS 也没有远程文件访问声明,而且官方不认为有任何远程文件访问漏洞的迹象。
官方认为这也是一种令人困惑的用户体验,并已打开上述问题进行跟踪。
按官方说法,就是除了对用户体验造成影响,其他没啥问题,散会
参考链接
-
https://grafana.com/blog/2022/06/07/cve-2022-32276-and-cve-2022-32275-no-current-evidence-of-security-impact/
-
https://github.com/BrotherOfJhonny/grafana
-
https://github.com/grafana/grafana/issues/50336
-
https://github.com/grafana/grafana/issues/50341
原文始发于微信公众号(安全圈小王子):CVE-2022-32276 和 CVE-2022-32275到底有没有影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论