01
漏洞描述
Grafana是一个开源的可视化和分析平台。允许查询、可视化、告警和监控的不同数据,无论数据存储在哪里。简单地说支持多种数据源,提供多种面板、插件来快速将复杂的数据转换为漂亮的图形和可视化的工具,可自定义告警监控规则。Grafana最早应该是Kibana3的一个分支,拥有自己的权限管理和用户管理系统,而Kibana没有权限管理。Kibana和ES结合紧密,支持强大的ES语法,比较适合做一些多维度的分析和查询,而Grafana更适合用于展示,图形比Kibana美观很多。
Grafana官方声称Grafana 存在权限提升漏洞。该漏洞由于 Grafana API 密钥发出请求时 API 密钥的权限存在30秒的缓存机制,攻击者通过构造id缓存发送 API 密钥的后续请求,从而获得与先前请求相同的权限,导致权限提升。
02
漏洞危害
提升攻击者的权限,可以继承Web服务器程序权限,去执行系统命令,执行任意代码。获取企业敏感信息,继承Web服务器权限,读写文件。向网站写WebShell,提权,甚至控制整个网站甚至服务器。
03
影响范围
Grafana < 8.4.6
Grafana >= 8.1.0
04
漏洞等级
高危
06
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用:
https://grafana.com/blog/2022/04/12/grafana-enterprise-8.4.6-released-with-high-severity-security-fix/
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Grafana 权限提升漏洞(CVE-2022-24812)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论