一、 漏洞描述
攻击者可利用 Grafana 在获取公共插件资产的相关函数中对于路径参数的字符清理不当的问题,通过构造恶意请求可造成目录遍历,读取系统上的文件。
二、 漏洞详情
CVE-2021-43798 : Grafana 任意文件读取漏洞
CVE: CVE-2021-43798
组件: Grafana
漏洞类型: 代码问题
影响: 目录遍历
简述: 见漏洞描述。
三、 影响版本
影响产品或系统版本 | 安全版本 | |
Grafana | Grafana < 8.3.1 Grafana < 8.2.7 Grafana < 8.1.8 Grafana < 8.0.7 | 大于受影响版本 |
四、 安全版本
见三
五、 安全建议
通用修补建议:
厂商已发布补丁,用户请尽快升级
https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/