【漏洞预警】Grafana 权限提升漏洞(CVE-2022-24812)

admin 2022年4月20日00:49:44评论511 views字数 710阅读2分22秒阅读模式

 01


漏洞描述





Grafana是一个开源的可视化和分析平台。
允许查询、可视化、告警和监控的不同数据,无论数据存储在哪里。简单地说支持多种数据源,提供多种面板、插件来快速将复杂的数据转换为漂亮的图形和可视化的工具,可自定义告警监控规则。Grafana最早应该是Kibana3的一个分支,拥有自己的权限管理和用户管理系统,而Kibana没有权限管理。Kibana和ES结合紧密,支持强大的ES语法,比较适合做一些多维度的分析和查询,而Grafana更适合用于展示,图形比Kibana美观很多。
Grafana官方声称Grafana 存在权限提升漏洞。该漏洞由于 Grafana API 密钥发出请求时 API 密钥的权限存在30秒的缓存机制,攻击者通过构造id缓存发送 API 密钥的后续请求,从而获得与先前请求相同的权限,导致权限提升。

 02

漏洞危害


提升攻击者的权限,可以继承Web服务器程序权限,去执行系统命令,执行任意代码。获取企业敏感信息,继承Web服务器权限,读写文件。向网站写WebShell,提权,甚至控制整个网站甚至服务器。

 03

影响范围





Grafana < 8.4.6

Grafana >= 8.1.0

04

漏洞等级

   

高危

 06

修复方案


厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
https://grafana.com/blog/2022/04/12/grafana-enterprise-8.4.6-released-with-high-severity-security-fix/


 














END

长按识别二维码,了解更多


【漏洞预警】Grafana 权限提升漏洞(CVE-2022-24812)


原文始发于微信公众号(易东安全研究院):【漏洞预警】Grafana 权限提升漏洞(CVE-2022-24812)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日00:49:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Grafana 权限提升漏洞(CVE-2022-24812)http://cn-sec.com/archives/928122.html

发表评论

匿名网友 填写信息