Grafana 任意文件读取漏洞通告-低调大师

Grafana 任意文件读取漏洞通告

2021-12-07 1562 89

报告编号：B6-2021-120701

报告来源：360CERT

报告作者：360CERT

更新日期：2021-12-07

1 漏洞简述

2021年12月07日，360CERT监测发现网上存在Grafana 任意文件读取漏洞，该漏洞目前为0day漏洞，漏洞编号：暂无，漏洞等级：高危，漏洞评分：7.5。

目前该漏洞POC已公开

对此，360CERT建议广大用户做好资产自查以及预防工作，以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	高危
影响面	广泛
攻击者价值	高
利用难度	低
360CERT评分	7.5

3 漏洞详情

Grafana 任意文件读取漏洞

CVE: 暂无

组件: Grafana

漏洞类型: 文件读取

影响: 获取敏感信息

简述: 未授权的攻击者利用该漏洞，能够获取服务器敏感文件。

4 影响版本

组件	影响版本	安全版本
Grafana	8.x	暂无

5 修复建议

通用修补建议

目前暂无相关补丁，即使关注官方动态，获取最新版本。

https://github.com/grafana/grafana/releases

https://github.com/grafana/grafana/releases

6 时间线

2021-12-07 360CERT发布通告

7 参考链接

1、 https://twitter.com/hacker_/status/1467880514489044993

https://twitter.com/hacker_/status/1467880514489044993

微信关注我们

原文链接：https://www.oschina.net/news/172446

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

2021-12-07 17:22:00

v73.01 鸿蒙内核源码分析(注释文档篇) | 内核所有函数调用关系图 | 百篇博客分析OpenHarmony源码

百篇博客分析.本篇为: (注释文档篇) | 内核所有函数调用关系图前因后果相关篇为: v08.03 鸿蒙内核源码分析(总目录) | 百万汉字注解百篇博客分析 v09.04 鸿蒙内核源码分析(调度故事) | 用故事说内核调度 v10.03 鸿蒙内核源码分析(内存主奴) | 皇上和奴才如何相处 v13.05 鸿蒙内核源码分析(源码注释) | 每天死磕一点点 v18.02 鸿蒙内核源码分析(源码结构) | 内核文件各自含义 v52.05 鸿蒙内核源码分析(静态站点) | 码农都不爱写注释和文档 v73.01 鸿蒙内核源码分析(注释文档) | 内核所有函数调用关系图工欲善其事必先利其器本篇尝试去摸索下鸿蒙内核毛细血管级的脉络,跟踪以下几个问题. 鸿蒙有多少个结构体,结构体中每个成员变量的含义是什么? 鸿蒙main长啥样,其是如何初始化各个模块的? 鸿蒙的任意一个函数的调用和引用关系关系是怎样的? 它已成为众多鸿蒙内核阅读者必不可少的参考手册. 鸿蒙 main 函数长啥样前往 >> 鸿蒙研究站 | 源码文档版块点击函数跟踪. /** * @brief * 内核入口函数,...

514

2021-12-07 14:35:00

妙手试探MySQL单表Insert插入极限-已实现每秒插入8.5万条数据

很多同学都有这样的困扰：工作中项目的数据量不大，遇不到sql优化的场景：单表就几万，我优化个der啊；业务对性能要求不高，远远没达到性能瓶颈：咱这项目又不是不能跑，优化个der啊；确实，如果你的项目体量不大，不管是数据层还是应用层，都很难接触到性能优化，但是我们可以自己造数据啊！！推荐Spring Cloud分布式微服务云架构电子商务源码扫码体验今天我带来了一个demo，不仅让你能把多线程运用到实际项目中，还能用它往数据库造测试数据，让你体验下大数据量的表优化定个小目标，今天造它一亿条数据！！首先搞清楚，不要为了用技术而用技术，技术一定是为了实现需求：插入一亿条数据，这是需求；为了提高效率，运用多线程异步插入，这是方案； 1、为了尽可能模拟真实场景，我们new个对象靠phone和createTime俩字段，能大大降低数据重复度，抛开别的字段不说，这俩字段基本能保证没有重复数据，所以我们最终的数据很真实，没有一条是重复的，而且，最后还能通过createTime来统计每秒插入条数，nice~ public class Person { priv...

522

资源下载

更多资源

Mario，低调大师唯一一个Java游戏作品

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Eclipse（集成开发环境）

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。

Java Development Kit(Java开发工具)

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。

Sublime Text 一个代码编辑器

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。