grafana 权限提升漏洞

最新推荐文章于 2024-06-24 17:28:10 发布
最新推荐文章于 2024-06-24 17:28:10 发布
阅读量1k 收藏 1
点赞数
分类专栏: 漏洞情报订阅 文章标签: grafana 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126971944
版权

漏洞描述

AGrafana 是一个用于监控和可观察性的开源平台。

当使用 Authproxy进行身份验证时,该漏洞允许攻击者从管理员权限升级到服务管理员。(在Authproxy功能中允许仅通过在X-WEBAUTH-USER HTTP标头中提供用户名(或电子邮件)来对用户进行身份验证即前端代理负责身份验证,并且只有使用此前端代理才能公开访问Grafana服务器。)

漏洞名称 grafana 权限提升漏洞
漏洞类型 使用欺骗进行的认证绕过
发现时间 2022/9/21
漏洞影响广度 一般
MPS编号 MPS-2022-51471
CVE编号 CVE-2022-35957
CNVD编号 -

影响范围

github.com/grafana/grafana @[9.1.0, 9.1.6)

github.com/grafana/grafana @[1.0.0, 8.5.13)

github.com/grafana/grafana @[9.0.0, 9.0.9)

修复方案

升级github.com/grafana/grafana 到 8.5.13、9.0.9、9.1.6 或更高版本

参考链接

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
grafana-authentication-proxy:Grafana 身份验证代理
06-24
grafana 身份验证代理 使用和 Express 在 Google OAuth2、基本身份验证或 CAS 身份验证背后最新的和 。 Elasticsearch、grafana 和用户客户端之间的代理 支持基本认证保护的 Elasticsearch,只有 grafana-authentication-proxy 知道用户/密码 兼容最新的grafana 增强的身份验证方法。 现在支持客户端的 Google OAuth2、BasicAuth(支持多用户)和 CAS 身份验证 支持每用户 grafana 索引。 现在您可以对用户 A 使用索引 grafana-int-userA,对用户 B 使用 grafana-int-userB 受启发并基于 ,其中 99% 是目前由他们编写的,谢谢:) 我们Bigdesk支持Bigdesk或Head等第三方插件,因为它们很难测试和维护 安装 #
CVE-2021-43798——Grafana 未授权任意文件读取
LiBai'S BLOG
12-18 1万+
Grafana 未授权任意文件读取~
CVE-2024-43798——Grafana 未授权任意文件读取_grafana未授权访问
最新发布
2401_84254343的博客
06-24 176
【代码】CVE-2024-43798——Grafana 未授权任意文件读取_grafana未授权访问。
Grafana 未经授权任意访问漏洞CVE-2022-32275)
murphysec的博客
06-08 9521
CVE-2022-32275漏洞是由于Grafana存在未授权访问漏洞,攻击者可以通过特定url,访问任意用户系统界面及读取任意文件。该漏洞影响范围一般。该问题已在新版本中修复,建议用户更新到最新版本。参考链接:https://nvd.nist.gov/vuln/detail/CVE-2022-32275 MISC:https://github.com/BrotherOfJhonny/grafana/blob/main/README.md       【使用墨菲安全的开源工具帮您快速检测代码安全】 墨菲安全
Grafana任意文件读取漏洞CVE-2021-43798)
热门推荐
chaojixiaojingang
03-14 2万+
1.漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。未授权的攻击者利用该漏洞,能够获取服务器敏感文件。 2.影响版本 Grafana 8.0.0 - 8.3.0 3.漏洞环境搭建 更新vulhub目录,进入vulhub/grafana/CVE-2021-43798 docker-compose up –d #下载安装漏洞镜像 访问目标3000端口 4.漏洞复现 访问...
Grafana接入单点登陆cas实践
mo56834154的博客
01-07 3358
Grafana接入单点登陆cas实践 grafana是一款比较流行且好用的可视化制图工具,在实战过程中,往往需要与公司内已有系统做打通,势必带来的问题是如何和内部系统做联动 对grafana添加auth.proxy属性 在grafana.ini配置文件中添加如下配置: [auth.proxy] enabled=true header_name=X-WEBAUTH-USER header_property= username auto_sign_up= true 编写grafana-cas,通过go
grafana-8.4.3.linux-amd64.tar.gz
03-04
Grafana提供了用户权限管理功能,可以设置不同的角色,如管理员、编辑者和查看者,以控制用户对数据源、面板和仪表盘的访问权限。此外,8.4.3版本进一步强化了安全性,修复了一些已知的安全漏洞,保证了数据的安全性...
grafana-enterprise-9.3.2.linux-armv7.tar.gz
01-04
- **安全性维护**:定期更新系统和Grafana,修复潜在的安全漏洞。 - **数据可视化设计**:遵循良好的可视化原则,清晰、直观地展示数据。 总的来说,"grafana-enterprise-9.3.2.linux-armv7.tar.gz" 提供了一种在...
基于Cloud Kernel龙蜥操作系统,并对其进行自动化缺陷检测、漏洞挖掘和修复,以提升安全性和可靠性
11-15
本文将深入探讨基于Cloud Kernel龙蜥操作系统进行自动化缺陷检测、漏洞挖掘和修复的技术方法,以提升安全性和可靠性。 一、自动化缺陷检测 1. 静态代码分析:通过对源代码进行无执行的检查,发现潜在的编程错误...
Service:为您和您的计算机提供服务
05-08
在计算机操作系统中,"服务"(Service)是一个重要的概念,特别是在Windows、Linux和Unix等系统中,它们是后台运行的程序,为系统和用户应用程序...学习这些知识,对于提升IT专业人士的技能和解决问题的能力至关重要。
keycloak资料支持下载
05-09
这包括定期更新Keycloak以修复可能的安全漏洞,正确配置SSL/TLS以保护通信,以及限制管理员权限以防止未授权访问。 六、监控与维护 为了确保Keycloak的稳定运行,需要定期监控其性能和日志,及时发现和处理异常。...
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 356
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
[文件读取]Grafana未授权任意文件读取
wj33333的博客
11-14 428
描述: Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。查看etc/passwd。查看/tmp/flag。
CVE-2021-43798——Grafana 未授权任意文件读取_grafana未授权访问(2)
2401_84519859的博客
05-16 448
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Grafana 未授权任意文件读取漏洞复现
渗透测试研究中心
12-16 5477
1.fofa 批量搜索 app="Grafana" 漏洞URL: {{BaseURL}}/public/plugins/{{plugin-id}}/../../../../../../../../../../../../../../../../../../../etc/passwd 2.获取远程目标linux系统的/etc/passwd密码信息 /public/plugins/alertGroups/../../../../../../../../etc/passwd/public/plugin
Grafana权限管理,新增用户并配置组权限
JJBOOM425的博客
04-04 4666
目前使用Grafana监控Flink相关任务的指标,但是可能会遇到别的开发者需要监控相关的指标情况,因此需要给他们单独开一个账号,并且配置相关的权限
CVE-2021-43798 Grafana 未授权任意文件读取漏洞
dreamthe的博客
12-08 6499
1.漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 该漏洞危害等级:高危 2.FOFA 查询 app="Grafana" 3.影响范围 根据FOFA最新数据,使用数量前三分别是:美国(67057),中国(30812),德国(25397) 经测试,目前最新版本(Grafana v8.2
CentOS7下Grafana详细部署教程
本文档介绍了如何在Linux CentOS 7系统上部署Grafana,包括关闭防火墙和SElinux、安装Grafana、配置匿名访问、管理服务以及安装Zabbix插件的离线方法。 在部署Grafana之前,首先需要确保系统环境的安全设置不会阻止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值