一、漏洞概况

近日，微步在线获取到 Grafana 未授权任意文件读取 0day 相关漏洞情报，攻击者可以利用该漏洞任意读取主机上的文件。Grafana 是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana 可以在网络浏览器里显示数据图表和警告。需要注意的是该漏洞并不依赖于某个特定的插件，而是因为 Grafana 在解析插件路由的时候没有对输入进行有效过滤造成的任意文件读取。

漏洞复现：

此次受影响的版本如下：

二、漏洞评估

公开程度：已出现在野利用

利用条件：无权限要求

交互要求：0 click

漏洞危害：高危、任意文件读取

影响范围：Grafana 8.x

三、修复方案

1、建议更新至官方最新发布的安全版本

2、微步在线 TDP 产品支持该漏洞检测

四、时间线

2021年12月7日 微步获取该漏洞在野利用相关情报

五、国内受影响资产统计

经微步网络空间测绘系统深度探测同时依托微步情报数据、DNS数据等大数据平台加工关联分析，国内受影响资产统计数据信息如下：

更多精彩内容，敬请关注“微步在线研究响应中心”微信公众号。