开源的分析暨交互式可视化应用grafana在本周二(12/7)紧急发布更新,以修补已出现攻击程序的cve-2021-43798漏洞。
grafana可连接各种数据源,并提供图表、图形或警报,为监控堆栈的热门组件,经常与时序数据库、监控平台、安全事件管理平台及其它数据源一起使用。
安全研究人员是在12月3日通报grafana,指出该应用含有一个目录穿越(directory traversal)漏洞,允许黑客访问本地文件。grafana内部确认该漏洞波及grafana 8.0.0 beta1至grafana 8.3.0版,而且只要预装prometheus或mysql等插件的grafana实例都遭到牵连,惟grafana cloud并未受到影响。
grafana原本计划要在7日通知客户,14日才会对外发布,然而,cve-2021-43798漏洞信息不但先行曝光,相关的概念性验证攻击程序也现身于twitter及github,使得grafana决定提前对外公开,并建议用户尽快部署已修补该漏洞的grafana 8.0.7/8.1.8/8.2.7/8.3.1。