“据说又是个0day?”
已知影响Grafana 8.x系列,貌似是不影响7.x版。
官方也暂时没发布安全更新,所以目前最好的防护就是使用白名单限制访问源。
01
—
简单复现一下
环境很好搞,用vulfocus或者官方文档都有详细的教程:
https://grafana.com/docs/grafana/latest/installation/docker/
效果如图:
02
—
就这
虽然只是个任意文件读取,但危害还是相当严重的。
比如当你读的是以下这些目录时
/etc/grafana/grafana.ini/var/lib/grafana/grafana.db
暂时先这样,后续补充个全的,
那个东西,链接后台回复“grafana”获取,就不放正文了
本演示仅用于学习和研究,请在实验环境中运行,请勿用于其他任何非法用途,否则后果自负!
原文始发于微信公众号(hijackY):【小道消息】Grafana未授权任意文件读取
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论