漏洞概况Grafana 是一个开源分析平台,用于可视化来自 Prometheus 和 InfluxDB 等来源的数据。微步情报局获取到Grafana 开放重定向与服务端请求伪造漏洞情报(CVE-202...
【CVE-2025-4123】:Grafana SSRF 及帐户接管利用
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。防走失:https://gugesay.c...
Grafana未授权跨站点脚本攻击XSS&SSRF漏洞
漏洞描述:Grafana发布安全公告修复了2个安全漏洞,其中包括一个跨站点脚本(XSS)漏洞,该漏洞是由客户端路径遍历和开放重定向的结合造成的。这使得攻击者能够将用户重定向到一个托管前端插件的网站该插...
Grafana 紧急提前修复已被公开的XSS 0day漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Grafana Labs 披露了计划之外的安全发布,修复了一个高危XSS漏洞CVE-2025-4123(CVSS评分7.6)。该XSS漏洞结合了一个...
HTB - Planning
关注公众号夜风Sec,持续分享各种工具和学习记录,与师傅共同进步 :)靶机信息As is common in real life pentests, you will start the Planni...
Grafana权限管理不当漏洞
漏洞描述:Grafana官方发布安全公告,修复了Grafana中的多个安全漏洞,其中包括一个权限管理不当漏洞,该漏洞于Grafana 11.6.x引入,查看者无论被分配何种访问权限,都能访问所有仪表板...
专家警告称,利用SSRF漏洞的攻击尝试正出现协同激增
威胁情报公司GreyNoise在3月9日服务器端请求伪造(SSRF)攻击激增之前,观察到了Grafana路径遍历漏洞的利用尝试,这表明攻击者可能正在利用Grafana作为深入攻击的初始入口点。专家们认...
Grafana 历史漏洞分析
最近学了下Go,也准备挖一下Go WEB应用的漏洞。梳理了Grafana的结构,调试分析了Grafana的一些历史漏洞及修复方案,也在分析过程中挖到了新的。感觉Go语言确实是比较安全的,很多漏洞其实都...
Apache IoTDB grafana-connector模块SQL注入分析
漏洞简述Apache IoTDB 是面向IoT场景存储时序数据的数据管理系统,具备跟Grafana、spark等系统的集成能力。4月8日,IoTDB 修复了其中 grafana-connector 模...
Grafana 已全面支持 VictoriaMetrics 体系
大家好,我是小斐呀。关于监控告警这块的我之前几乎都是推荐使用 VictoriaMetrics 时序数据库,但是在 Grafana 下使用 VictoriaMetrics 时序库的时候需要单独安装 Vi...
Grafana任意文件读取
一、漏洞介绍 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻...
Grafana 渗透测试综合指南
在漏洞评估、管理和渗透测试方面的全职工作与三年的错误搜寻作为副业之间的平衡教会了我一件事:好奇心驱动创新。我是 Sushant Ghanekar,在这篇文章中,我将指导您完成 Grafana 实例的渗...