grafana 权限提升漏洞

最新推荐文章于 2024-09-05 06:12:49 发布
最新推荐文章于 2024-09-05 06:12:49 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 漏洞情报订阅 文章标签: grafana 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126971944
版权
本文介绍了Grafana在特定版本中存在权限提升漏洞,允许攻击者从管理员权限升级到服务管理员。受影响的版本包括9.1.0至9.1.6, 1.0.0至8.5.13, 9.0.0至9.0.9。修复方案是将Grafana升级到8.5.13、9.0.9、9.1.6或更高版本。参考链接提供了更多详细信息,包括CVE详情和官方安全通告。" 103531784,8537444,全球MikroTik路由器的安全状况,"['网络安全', '路由器安全', 'MikroTik', '漏洞管理']
摘要由CSDN通过智能技术生成

漏洞描述

AGrafana 是一个用于监控和可观察性的开源平台。

当使用 Authproxy进行身份验证时,该漏洞允许攻击者从管理员权限升级到服务管理员。(在Authproxy功能中允许仅通过在X-WEBAUTH-USER HTTP标头中提供用户名(或电子邮件)来对用户进行身份验证即前端代理负责身份验证,并且只有使用此前端代理才能公开访问Grafana服务器。)

漏洞名称 grafana 权限提升漏洞
漏洞类型 使用欺骗进行的认证绕过
发现时间 2022/9/21
漏洞影响广度 一般
MPS编号 MPS-2022-51471
CVE编号 CVE-2022-35957
CNVD编号 -

影响范围

github.com/grafana/grafana @[9.1.0, 9.1.6)

github.com/grafana/grafana @[1.0.0, 8.5.13)

github.com/grafana/grafana @[9.0.0, 9.0.9)

修复方案

升级github.com/grafana/grafana 到 8.5.13、9.0.9、9.1.6 或更高版本

参考链接

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
专栏目录
Grafana 未经授权的任意文件读取漏洞复现(CVE-2021-43798 )
千寻的博客
12-16 3645
文章目录漏洞名称漏洞编号漏洞描述影响版本fofa漏洞点复现步骤修复建议参考链接免责声明 漏洞名称 Grafana 未经授权的任意文件读取 漏洞编号 CVE-2021-43798 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 影响版本 Grafana 8.x fofa app
Grafana DuckDB表达式注入漏洞(CVE-2024-9264)
最新发布
2303_77176437的博客
11-08 256
Grafana 的 SQL 表达式实验功能允许评估包含用户输入的“duckdb”查询。这些查询在传递给“duckdb”之前没有得到充分的净化,从而导致命令注入和本地文件包含漏洞。任何具有 VIEWER 或更高权限的用户都能够执行此攻击。 “duckdb”二进制文件必须存在于 Grafana 的 $PATH 中才能使此攻击起作用;默认情况下,此二进制文件未安装在 Grafana 发行版中。
Grafana 未经授权任意访问漏洞CVE-2022-32275)
murphysec的博客
06-08 1万+
CVE-2022-32275漏洞是由于Grafana存在未授权访问漏洞,攻击者可以通过特定url,访问任意用户系统界面及读取任意文件。该漏洞影响范围一般。该问题已在新版本中修复,建议用户更新到最新版本。参考链接:https://nvd.nist.gov/vuln/detail/CVE-2022-32275 MISC:https://github.com/BrotherOfJhonny/grafana/blob/main/README.md       【使用墨菲安全的开源工具帮您快速检测代码安全】 墨菲安全
CVE-2024-43798——Grafana 未授权任意文件读取_grafana未授权访问
2401_86437209的博客
09-05 347
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)
qq_45244158的博客
12-09 1万+
Grafana 任意文件读取漏洞复现(CVE-2021-43798)
CVE-2021-43798 Grafana 文件读取漏洞
2301_79724395的博客
04-16 1239
影响版本 Grafana 8.0.0-beta1 to 8.3.0攻击者可以通过将包含特殊目录遍历字符序列(…/)的特制HTTP请求发送到受影响的设备来利用此漏洞。成功利用该漏洞的攻击者可以在目标设备上查看文件系统上的的任意文件。
Grafana(CVE-2021-43798)、Apache Druid 代码执行漏洞
qq_55202378的博客
05-14 497
Apache Druid是一个开源的分布式数据存储,它包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。Grafana是一个系统监测工具。
Grafana任意文件读取漏洞CVE-2021-43798)
qq_50854662的博客
06-27 1208
Grafana任意文件读取漏洞
grafana-8.4.3.linux-amd64.tar.gz
03-04
Grafana提供了用户权限管理功能,可以设置不同的角色,如管理员、编辑者和查看者,以控制用户对数据源、面板和仪表盘的访问权限。此外,8.4.3版本进一步强化了安全性,修复了一些已知的安全漏洞,保证了数据的安全性...
grafana-enterprise-9.3.2.linux-armv7.tar.gz
01-04
- **安全性维护**:定期更新系统和Grafana,修复潜在的安全漏洞。 - **数据可视化设计**:遵循良好的可视化原则,清晰、直观地展示数据。 总的来说,"grafana-enterprise-9.3.2.linux-armv7.tar.gz" 提供了一种在...
Grafana安全性与权限管理
# 第一章:Grafana 简介与安全需求 ## 1.1 Grafana 概述 Grafana 是一个开源的数据可视化和监控平台,它提供了丰富的图表和面板,...对于 Grafana 来说,安全性不仅包括用户权限管理,还需考虑数据传输的加密保护、系
Grafana 任意文件读取漏洞分析与汇总(CVE-2021-43798)
weixin_46801402的博客
11-10 534
Grafana 任意文件读取漏洞分析与汇总(CVE-2021-43798)
Grafana 提醒注意严重的认证绕过漏洞
smellycat000的专栏
06-25 1135
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Grafana 为其多个应用版本发布安全修复方案,修复了一个严重漏洞,它可使攻击者绕过认证并接管使用 Azure Active Directory 用于认证的任何 Grafana 账户。该漏洞的编号是CVE-2023-3128,CVSS v3.1评分是9.4。Grafana 是一款广泛使用的开源分析和交互可视化 app,通过大量监控平台和应用程序...
awk sub gsub
热门推荐
11-18 2万+
awk sub gsub awk -F: '{sub(/root/, "ROOT"); print}' password ROOT:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/va...
CVE-2021-43798 Grafana 未授权任意文件读取漏洞
dreamthe的博客
12-08 6606
1.漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 该漏洞危害等级:高危 2.FOFA 查询 app="Grafana" 3.影响范围 根据FOFA最新数据,使用数量前三分别是:美国(67057),中国(30812),德国(25397) 经测试,目前最新版本(Grafana v8.2
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)_grafana漏洞复现
2401_84437170的博客
04-17 883
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。
数据库丨TiDB集群中高危Grafana权限漏洞如何快速修复?答案在这里→
在数字化道路无限探索
02-22 711
TiDB集群中Grafana权限提升漏洞解决方案。
grafana历史漏洞
08-14
2. **CVE-2021-44228**:另一个涉及到权限管理的漏洞,允许未经身份验证的用户获取管理员级API访问。 3. **CVE-2020-16297**:涉及到数据库查询注入,攻击者可通过恶意输入可能导致敏感信息泄露。 每次发现漏洞后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值