歡迎光臨
我們一直在努力

【漏洞預警】Grafana 任意檔案讀取漏洞(CVE-2021-43798)

#漏洞預警與 CVE

【漏洞預警】Grafana 任意檔案讀取漏洞(CVE-2021-43798)

漏洞描述:

Grafana是一個跨平臺、開源的資料視覺化網路應用程式平臺。使用者配置連線的資料來源之後,Grafana可以在網路瀏覽器裡顯示資料圖表和警告。2021年12月6日,國外安全研究人員披露Grafana中某些介面在提供靜態檔案時,攻擊者通過構造惡意請求,可造成目錄遍歷,讀取系統上的檔案。

影響版本:

Grafana 8.x 系列

安全建議:

升級至最新版本

Ref:https://github.com/jas502n/Grafana-CVE-2021-43798

波波觀點:Grafana 檔案讀取風險會延伸到憑證外洩

Grafana CVE-2021-43798 的重點不只是任意檔案讀取本身,而是攻擊者可能進一步取得設定檔、資料來源連線資訊、雲端憑證或內部服務線索。監控系統通常連接許多敏感資源,因此一個看似單點的 Web 漏洞,實際影響可能擴散到整個營運環境。

排查清單

  • 確認 Grafana 版本、外部暴露範圍、反向代理路徑與匿名存取設定。
  • 檢查是否能讀取設定檔、plugin 目錄、資料來源設定與系統敏感檔案。
  • 修補後輪替可能外洩的 token、資料庫密碼、API key 與服務帳號。
  • 回顧存取日誌中 path traversal、plugin 路徑與異常下載行為。

防禦建議

Grafana 這類後台工具應盡量放在內網或 VPN 後方,並搭配 SSO、MFA、來源限制與最小權限資料來源。漏洞修補後,不要只確認版本升級,也要確認是否已被讀取敏感檔案,並依照外洩可能性執行憑證輪替。

後續可加入影響版本表、檢查指令與修補後驗證方式。對搜尋 Grafana 漏洞、CVE-2021-43798、任意檔案讀取的讀者會更完整。

延伸閱讀與專題

贊(4) 贊助
未經允許不得轉載:波波的寂寞世界 » 【漏洞預警】Grafana 任意檔案讀取漏洞(CVE-2021-43798)

波波的寂寞世界

Facebook聯繫我們

覺得文章有幫助,歡迎贊助支持本站

感謝你的支持,我會持續整理資安筆記、實務經驗與有價值的技術內容。

贊助本站