【漏洞預警】Grafana 任意檔案讀取漏洞(CVE-2021-43798)
漏洞描述:
Grafana是一個跨平臺、開源的資料視覺化網路應用程式平臺。使用者配置連線的資料來源之後,Grafana可以在網路瀏覽器裡顯示資料圖表和警告。2021年12月6日,國外安全研究人員披露Grafana中某些介面在提供靜態檔案時,攻擊者通過構造惡意請求,可造成目錄遍歷,讀取系統上的檔案。
影響版本:
Grafana 8.x 系列
安全建議:
升級至最新版本
Ref:https://github.com/jas502n/Grafana-CVE-2021-43798
波波觀點:Grafana 檔案讀取風險會延伸到憑證外洩
Grafana CVE-2021-43798 的重點不只是任意檔案讀取本身,而是攻擊者可能進一步取得設定檔、資料來源連線資訊、雲端憑證或內部服務線索。監控系統通常連接許多敏感資源,因此一個看似單點的 Web 漏洞,實際影響可能擴散到整個營運環境。
排查清單
- 確認 Grafana 版本、外部暴露範圍、反向代理路徑與匿名存取設定。
- 檢查是否能讀取設定檔、plugin 目錄、資料來源設定與系統敏感檔案。
- 修補後輪替可能外洩的 token、資料庫密碼、API key 與服務帳號。
- 回顧存取日誌中 path traversal、plugin 路徑與異常下載行為。
防禦建議
Grafana 這類後台工具應盡量放在內網或 VPN 後方,並搭配 SSO、MFA、來源限制與最小權限資料來源。漏洞修補後,不要只確認版本升級,也要確認是否已被讀取敏感檔案,並依照外洩可能性執行憑證輪替。
後續可加入影響版本表、檢查指令與修補後驗證方式。對搜尋 Grafana 漏洞、CVE-2021-43798、任意檔案讀取的讀者會更完整。







