Grafana 任意文件读取漏洞通告
报告编号:B6-2021-120701
报告来源:360CERT
报告作者:360CERT
更新日期:2021-12-07
1 漏洞简述
2021年12月07日,360CERT监测发现网上存在Grafana 任意文件读取漏洞,该漏洞目前为0day漏洞,漏洞编号:暂无,漏洞等级:高危,漏洞评分:7.5。
目前该漏洞POC已公开
对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2 风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 广泛 |
| 攻击者价值 | 高 |
| 利用难度 | 低 |
| 360CERT评分 | 7.5 |
3 漏洞详情
Grafana 任意文件读取漏洞
CVE: 暂无
组件: Grafana
漏洞类型: 文件读取
影响: 获取敏感信息
简述: 未授权的攻击者利用该漏洞,能够获取服务器敏感文件。
4 影响版本
| 组件 | 影响版本 | 安全版本 |
|---|---|---|
| Grafana | 8.x | 暂无 |
5 修复建议
通用修补建议
目前暂无相关补丁,即使关注官方动态,获取最新版本。
https://github.com/grafana/grafana/releases
https://github.com/grafana/grafana/releases
6 时间线
2021-12-07 360CERT发布通告
7 参考链接
1、 https://twitter.com/hacker_/status/1467880514489044993
https://twitter.com/hacker_/status/1467880514489044993
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
v73.01 鸿蒙内核源码分析(注释文档篇) | 内核所有函数调用关系图 | 百篇博客分析OpenHarmony源码
百篇博客分析.本篇为: (注释文档篇) | 内核所有函数调用关系图 前因后果相关篇为: v08.03 鸿蒙内核源码分析(总目录) | 百万汉字注解 百篇博客分析 v09.04 鸿蒙内核源码分析(调度故事) | 用故事说内核调度 v10.03 鸿蒙内核源码分析(内存主奴) | 皇上和奴才如何相处 v13.05 鸿蒙内核源码分析(源码注释) | 每天死磕一点点 v18.02 鸿蒙内核源码分析(源码结构) | 内核文件各自含义 v52.05 鸿蒙内核源码分析(静态站点) | 码农都不爱写注释和文档 v73.01 鸿蒙内核源码分析(注释文档) | 内核所有函数调用关系图 工欲善其事 必先利其器 本篇尝试去摸索下鸿蒙内核毛细血管级的脉络,跟踪以下几个问题. 鸿蒙有多少个结构体,结构体中每个成员变量的含义是什么? 鸿蒙main长啥样,其是如何初始化各个模块的? 鸿蒙的任意一个函数的调用和引用关系关系是怎样的? 它已成为众多鸿蒙内核阅读者必不可少的参考手册. 鸿蒙 main 函数长啥样 前往 >> 鸿蒙研究站 | 源码文档版块 点击函数跟踪. /** * @brief * 内核入口函数,...
- 下一篇
妙手试探MySQL单表Insert插入极限-已实现每秒插入8.5万条数据
很多同学都有这样的困扰: 工作中项目的数据量不大,遇不到sql优化的场景:单表就几万,我优化个der啊; 业务对性能要求不高,远远没达到性能瓶颈:咱这项目又不是不能跑,优化个der啊; 确实,如果你的项目体量不大,不管是数据层还是应用层,都很难接触到性能优化,但是我们可以自己造数据啊!! 推荐Spring Cloud分布式微服务云架构电子商务源码 扫码体验 今天我带来了一个demo,不仅让你能把多线程运用到实际项目中,还能用它往数据库造测试数据,让你体验下大数据量的表优化 定个小目标,今天造它一亿条数据!! 首先搞清楚,不要为了用技术而用技术,技术一定是为了实现需求: 插入一亿条数据,这是需求; 为了提高效率,运用多线程异步插入,这是方案; 1、为了尽可能模拟真实场景,我们new个对象 靠phone和createTime俩字段,能大大降低数据重复度,抛开别的字段不说,这俩字段基本能保证没有重复数据,所以我们最终的数据很真实,没有一条是重复的,而且,最后还能通过createTime来统计每秒插入条数,nice~ public class Person { priv...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS关闭SELinux安全模块
- CentOS8编译安装MySQL8.0.19
- CentOS6,CentOS7官方镜像安装Oracle11G
- Linux系统CentOS6、CentOS7手动修改IP地址
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7设置SWAP分区,小内存服务器的救世主
微信收款码
支付宝收款码