在漏洞评估、管理和渗透测试方面的全职工作与三年的错误搜寻作为副业之间的平衡教会了我一件事:好奇心驱动创新。我是 Sushant Ghanekar,在这篇文章中,我将指导您完成 Grafana 实例的渗...
Grafana任意文件读取漏洞(CVE-2021-43798)复现
Pytask漏洞利用框架复现CVE-2021-43798 原文始发于微信公众号(我的安全梦):Grafana任意文件读取漏洞(CVE-2021-43798)复现
Grafana漏洞利用清单
Grafana是一个跨平台的开源分析和交互式可视化Web应用程序。通过Web在连接支持的数据源时,提供图表、图形和警报等。 CVE-2020-11110 漏洞描述:Grafana在6.7.1版本中存在...
Grafana高中危漏洞
Grafana 拒绝服务漏洞(CVE-2023-2801)漏洞描述:Grafana是一个用于监控和可观测性的开源平台。使用公共仪表板,用户可以使用混合查询查询多个不同的数据源。然而,这样的查询有可能导...
Grafana plugins 任意文件读取
圣人之道,吾性自足,不假外求一、漏洞描述Grafana存在任意文件读取漏洞,通过默认存在的插件,可构造特殊的请求包读取服务器任意文件二、漏洞影响Grafana 8.x三、漏洞复现构造请求payload...
Grafana DuckDB表达式注入漏洞(CVE-2024-9264) PoC
0x01漏洞介绍 Grafana是Grafana开源的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。 Grafana存在安全...
Grafana 的奇技淫巧
Grafana 是一款强大的可视化工具,不止是用于 Prometheus 做数据源,还可以集成数据库、日志等作为数据源整体使用。最近我在配置一个监控面板,其中的数据由 Prometheus 和 MyS...
CVE-2024-9264|Grafana SQL表达式允许远程代码执行(POC)
0x00 前言Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,带有告警功能。...
开源监控平台Grafana 后认证 DuckDB SQL 注入(文件读取)CVE-2024-9264 【PoC】
概念验证 (PoC) 此 PoC 展示了利用 CVE-2024-9264 使用已认证用户执行 DuckDB SQL 查询并读取文件系统上的任意文件的方法。 设置:通过以下命令安装所需的依...
[Poc]-CVE-2024-9264 Grafana Post-Auth DuckDB SQL Injection
【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。PoC此 PoC 演示了利用经过身份验证的用户执行 DuckDB SQL 查询并读取文件系统上的任意文件来利用 CVE-2024-9264。安装...
利用 Grafana 任意文件读取 (CVE-2024-9264)
Grafana Post-Auth DuckDB SQL 注入(文件读取)概念验证(PoC)该 PoC 演示了如何使用经过身份验证的用户执行 DuckDB SQL 查询并读取文件系统上的任意文件来利用...
CVE-2024-8986 (CVSS 9.1): Grafana 插件 SDK 缺陷导致敏感信息泄露
对于 Grafana 用户来说,一个令人担忧的开发问题是,Go 版 Grafana 插件 SDK 中发现了一个严重的安全漏洞。该漏洞的编号为 CVE-2024-8986,CVSS 评分为 9.1,可能...
9