Grafana 未授权任意文件读取漏洞

最新推荐文章于 2024-06-24 17:28:10 发布
最新推荐文章于 2024-06-24 17:28:10 发布
阅读量954 收藏
点赞数
分类专栏: 漏洞 文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51387754/article/details/121776752
版权

漏洞简介

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。

Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。

经测试,目前最新版本(Grafana v8.2.6)仍存在漏洞。

漏洞复现

在这里插入图片描述
抓包

GET /public/plugins/graph/../../../../../../../../../../../../
最低0.47元/天 解锁文章
GuiltyFet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Grafana版本<8.3任意文件读取
The current road is different, love needs to distinguish between right and wrong
12-30 670
简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。目前测试Grafana 8.3之前版本存在授权任意文件读取漏洞,可以在经身份验证的情况下可通过默认存在的插件,构造特殊的请求包读取服务器任意文件漏洞利用 抓包获取get请求重放数据包 /public/plugins/alertmanager/../../../../../../../../../../etc/shadow 测试 fo
Grafana与python后端通过get请求进行通信
呆萌的代Ma
04-14 495
【代码】Grafana与后端通过get请求进行通信。
CVE-2024-43798——Grafana 授权任意文件读取_grafana授权访问
最新发布
2401_84254343的博客
06-24 186
【代码】CVE-2024-43798——Grafana 授权任意文件读取_grafana授权访问。
漏洞复现】Grafana任意文件读取(CVE-2021-43798)
m0_52923241的博客
03-11 1269
只要是安装了任何一个插件就可以出现任意文件读取,因为是plugins的问题。
Grafana 中存在严重的授权任意文件读取漏洞,已遭利用
smellycat000的专栏
12-08 1480
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Grafana Labs 发布紧急安全更新,修复了影响该公司主产品 Grafana 仪表盘中的严重漏洞 (CVE-2021-43798)...
CVE-2021-43798——Grafana 授权任意文件读取
qq_59201520的博客
03-30 470
CVE-2021-43798——Grafana 授权任意文件读取漏洞复现
Grafana 漏洞可导致管理员账户遭接管
smellycat000的专栏
07-25 1148
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究人员提醒称,Grafana 的OAuth 登录功能中存在一个漏洞 (CVE-2022-31107),可导致管理员账户遭接管。该漏洞可导致攻击者访问 Grafana 开源分析平台上其它用户的账户。该漏洞是由 HTTPVoid 公司的研究员发现的,位于该平台的登录功能中,“可导致攻击者通过针对运行易受攻击 Grafana...
grafana 目录遍历(CVE-2021-43798)漏洞复现【VULFOCUS靶场-中级】--拿flag的历程
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
05-26 1万+
漏洞名称: grafana 目录遍历 (CVE-2021-43798) 漏洞描述: Grafana 是一个用于监控和可观察性的开源平台。Grafana 版本 8.0.0-beta1 到 8.3.0(补丁版本除外)容易受到目录遍历,允许访问本地文件。易受攻击的 URL 路径是:<grafana_host_url>/public/plugins//,其中是任何已安装插件的插件 ID。Grafana Cloud 在任何时候都不会受到攻击。建议用户升级到补丁版本 8.0.7、8.1.8、8.2.7...
【后端-监控系统】2、prometheus、exporter、grafana、alertmanager 生态超详细介绍
呆呆的猫的博客
11-15 2729
prometheus、grafana、alertManager、exporter 生态超详细介绍
shell脚本安装Grafana 8.0.3
出发之前永远是梦想,上路之后永远是挑战。
06-29 563
脚本说明: RedHat系列操作系统 系统登录用户teld,根据实际情况可做替换 rpm统一存放位置/usr/local/rpm grafana相关存储位置在/mnt/data/grafana grafana.sh #!/bin/bash if [ ! -d /usr/local/rpm ]; then sudo mkdir -p /usr/local/rpm sudo chown -R teld:teld /usr/local/rpm echo "<<<<<&l
grafana最新版使用手册
09-27
详细讲解Grafana从安装到调试整个过程,并通过完整的示例,带你一步一步实现grafana配置
漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)
qq_45244158的博客
12-09 1万+
Grafana 任意文件读取漏洞复现(CVE-2021-43798)
漏洞复现】Grafana任意文件读取漏洞 (CVE-2021-43798)
做自己喜欢的事,并将其发挥到极致!
12-08 1193
0X01 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在授权任意文件读取漏洞,攻击者在经身份验证的情况下可通过该漏洞读取主机上的任意文件。 0x02 源码分析 搜索漏洞存在路径 /public/plugins/ 在api.go文件中 r.Get("/public/plugins/:pluginId/*", hs.getPluginAssets) 跟踪对应的 getPlugin
Grafana 授权任意文件读取 0day 漏洞复现
yoyo_573的博客
12-21 2938
Grafana 授权任意文件读取 0day 漏洞
Grafana中踩过的坑
热门推荐
思过留痕
11-02 3万+
1、时间戳 遇到将过去某一时间范围内的放到今天显示的需求,琢磨的一阵,是可以的。 timeSeries以及timeSeries以及timeSeries以及timeFilter的变化技巧 SELECT $timeSeries+86400*7*1000 as t, domain, sum(hit) as hit_2 FROM $table WHERE date = today(...
云演 文件上传漏洞
为之的博客
07-01 644
1.lab01 直接传入webshell即可 使用中国蚁剑进行连接 2.lab02 前端验证,使用burpsuite修改为php文件即可使用蚁剑连接 查看文件源代码,找到路径 3.lab03 ...
Grafana任意文件读取漏洞(CVE-2021-43798)
不光要学,知识要能说出口
12-08 957
Grafana任意文件读取漏洞(CVE-2021-43798) goby exp声明代码poc集合 声明 本程序仅供于学习交流,请使用者遵守《中华人民共和国网络安全法》,勿将此脚本用于非授权的测试,脚本开发者不负任何连带法律责任。 代码 { "Name": "Grafana Plugins Arbitrary File Read CVE-2021-43798", "Level": "3", "Tags": [ "fileread" ],
Vulhub - Tomcat8 + 弱口令 && 后台getshell 漏洞复现
多崎巡礼的博客
11-08 7345
VulHubTomcat8+ 弱口令 &amp;amp;amp;&amp;amp;amp; 后台getshell 漏洞环境实验 1.启动docker镜像 docker基于Ubuntu 已搭建完成。 拉取项目git clone https://github.com/vulhub/vulhub.git 进入镜像:cd vulhub/tomcat/tomcat8/ 启动环境:docker-compose up -d 2.登录tomca...
shopxo download 任意文件读取漏洞
09-02
然而,它也存在一些安全漏洞,包括任意文件读取漏洞。这个漏洞可能会使攻击者能够读取服务器上的任意文件,包括敏感的配置文件和用户数据。 要利用shopxo download任意文件读取漏洞,攻击者通常会构造特定的URL请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GuiltyFet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值