Grafana任意文件讀取0day漏洞（CVE-2021-43798）

2021-12-07

一、概要

近日，華為云關(guān)注到業(yè)界有安全研究人員披露Grafana存在一處任意文件讀取0day漏洞（CVE-2021-43798），攻擊者可以通過構(gòu)造惡意請求觸發(fā)該漏洞，造成在未經(jīng)身份認(rèn)證的情況下可讀取目標(biāo)主機(jī)上的任意文件。

Grafana是一個(gè)跨平臺(tái)、開源的數(shù)據(jù)可視化網(wǎng)絡(luò)應(yīng)用程序平臺(tái)。華為云提醒使用Grafana的用戶及時(shí)安排自檢并做好安全加固以降低安全風(fēng)險(xiǎn)。

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Grafana 8.0.0 - 8.3.0

安全版本：

Grafana 8.3.1, 8.2.7, 8.1.8, 8.0.7

四、漏洞處置

目前官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級(jí)到安全版本：

https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

若無法及時(shí)更新的用戶，可參考如下建議進(jìn)行臨時(shí)規(guī)避：

1、設(shè)置Grafana僅對可信地址開放，即白名單訪問；

2、如無必要，禁止系統(tǒng)對公網(wǎng)開放。

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。