Grafana未授权任意文件读取

最新推荐文章于 2024-09-05 06:12:49 发布
最新推荐文章于 2024-09-05 06:12:49 发布
阅读量430 收藏
点赞数
分类专栏: 笔记 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39281549/article/details/121789673
版权
Grafana是一款开源的数据可视化平台,最近被发现在未经身份验证的情况下,攻击者可以利用漏洞读取主机任意文件。此漏洞影响Grafana的最新版本v8.2.6,安全等级为高危。请注意,由于法规限制,无法提供POC,技术交流仅限合法范围。
摘要由CSDN通过智能技术生成

CVE-2021-43798

漏洞描述

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。

Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。

该漏洞危害等级:高危

影响范围

经测试,目前最新版本(Grafana v8.2.6)仍存在漏洞。

复现过程:

在这里插入图片描述

备注:由于国家最新网络安全法规,无法展示poc,请自行寻找,本教程只适用于技术交流!!禁止进行非法入侵行为!!

只会跳舞的演奏家
关注
专栏目录
Grafana 未经授权任意文件读取漏洞复现(CVE-2021-43798 )
千寻的博客
12-16 3548
文章目录漏洞名称漏洞编号漏洞描述影响版本fofa漏洞点复现步骤修复建议参考链接免责声明 漏洞名称 Grafana 未经授权任意文件读取 漏洞编号 CVE-2021-43798 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件影响版本 Grafana 8.x fofa app
漏洞复现】Grafana任意文件读取漏洞 (CVE-2021-43798)
做自己喜欢的事,并将其发挥到极致!
12-08 1233
0X01 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 0x02 源码分析 搜索漏洞存在路径 /public/plugins/ 在api.go文件 r.Get("/public/plugins/:pluginId/*", hs.getPluginAssets) 跟踪对应的 getPlugin
Grafana 授权任意文件读取
qq_45770644的博客
12-07 697
Grafana 授权任意文件读取 0day 漏洞
CVE-2021-43798——Grafana 授权任意文件读取
热门推荐
LiBai'S BLOG
12-18 1万+
Grafana 授权任意文件读取~
[文件读取]Grafana授权任意文件读取
wj33333的博客
11-14 469
描述: Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。查看etc/passwd。查看/tmp/flag。
CVE-2021-43798 Grafana 授权任意文件读取漏洞
dreamthe的博客
12-08 6573
1.漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 该漏洞危害等级:高危 2.FOFA 查询 app="Grafana" 3.影响范围 根据FOFA最新数据,使用数量前三分别是:美国(67057),国(30812),德国(25397) 经测试,目前最新版本Grafana v8.2
Grafana 授权任意文件读取漏洞
weixin_51387754的博客
12-07 1003
漏洞简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 经测试,目前最新版本Grafana v8.2.6)仍存在漏洞漏洞复现 app=“Grafana” 抓包 GET /public/plugins/graph/../../../../../../../../../../../../../../..
Grafana版本<8.3任意文件读取
The current road is different, love needs to distinguish between right and wrong
12-30 707
简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。目前测试Grafana 8.3之前版本存在授权任意文件读取漏洞,可以在未经身份验证的情况下可通过默认存在的插件,构造特殊的请求包读取服务器任意文件漏洞利用 抓包获取get请求重放数据包 /public/plugins/alertmanager/../../../../../../../../../../etc/shadow 测试 fo
CVE-2024-43798——Grafana 授权任意文件读取_grafana授权访问
最新发布
2401_86437209的博客
09-05 260
Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件
CVE-2021-43798——Grafana 授权任意文件读取_grafana授权访问(2)
2401_84519859的博客
05-16 488
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Grafana 未经授权任意访问漏洞(CVE-2022-32275)
murphysec的博客
06-08 9862
CVE-2022-32275漏洞是由于Grafana存在授权访问漏洞,攻击者可以通过特定url,访问任意用户系统界面及读取任意文件。该漏洞影响范围一般。该问题已在新版本修复,建议用户更新到最新版本。参考链接:https://nvd.nist.gov/vuln/detail/CVE-2022-32275 MISC:https://github.com/BrotherOfJhonny/grafana/blob/main/README.md       【使用墨菲安全的开源工具帮您快速检测代码安全】 墨菲安全
【vulhub系列】CVE-2021-43798 Grafana授权任意文件读取复现
Wiofgb的博客
08-17 1176
记录一次CVE-2021-43798 Grafana授权任意文件读取复现
Grafana 授权任意文件读取 0day 漏洞复现
yoyo_573的博客
12-21 2980
Grafana 授权任意文件读取 0day 漏洞
Grafana 存在严重的授权任意文件读取漏洞,已遭利用
smellycat000的专栏
12-08 1508
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Grafana Labs 发布紧急安全更新,修复了影响该公司主产品 Grafana 仪表盘的严重漏洞 (CVE-2021-43798)...
开源漏洞深度分析|CVE-2022-38370 Apache IoTDB grafana-connector 模块授权漏洞
LJQClqjc的博客
09-08 1005
开源漏洞深度分析|CVE-2022-38370 Apache IoTDB grafana-connector 模块授权漏洞
Grafana 授权任意文件读取漏洞复现
渗透测试研究中心
12-16 5520
1.fofa 批量搜索 app="Grafana" 漏洞URL: {{BaseURL}}/public/plugins/{{plugin-id}}/../../../../../../../../../../../../../../../../../../../etc/passwd 2.获取远程目标linux系统的/etc/passwd密码信息 /public/plugins/alertGroups/../../../../../../../../etc/passwd/public/plugin
CVE-2021-43798 Grafana任意文件读取复现
weixin_46137328的博客
01-09 1355
0x00 概述Grafana是一个完全开源的度量分析与可视化平台,可对来自各种各种数据源的数据进行查询、分析、可视化处理以及配置告警。Grafana读取文件接口存在授权,且文件地址...
授权漏洞
qq_39541626的博客
03-16 1514
https://www.cnblogs.com/KevinGeorge/p/8921133.html 访问控制类漏洞与隐患 这一类漏洞与隐患属于访问控制与身份鉴别问题,一般有没有配置访问控制、访问控制弱(弱口令或者空口令),身份鉴别可以绕过等问题 漏洞协议组件 漏洞类型 漏洞评级 SSH 弱口令 严重 RDP 授权、弱口令 严重 SMB 授权(共享直接访问,不验证)、弱口令 严...
JAVA实现远程文件读取示例
"本文将介绍如何使用JAVA编程语言实现远程文件读取的功能。通过创建一个简单的客户端程序,我们可以连接到远程服务器,读取指定路径的文件内容,并在本地打印出来。" 在Java,实现远程文件读取通常涉及到网络编程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值