漏洞介绍：

    Grafana是一款用Go语言开发的开源数据可视化工具，可以做数据监控和数据统计，带有告警功能。目前使用grafana的公司有很多，如paypal、ebay、intel等。

2021年12月6日，国外安全研究人员披露Grafana中某些接口在提供静态文件时，攻击者通过构造恶意请求，可造成目录遍历，读取系统上的文件。

该漏洞暂无补丁，目前为在野0day。

漏洞编号：

暂无

漏洞等级：

高危

漏洞影响范围：

Grafana 8.x 系列

漏洞修复方案：

截止2021年12月7日，官方尚未发布新版本，最新版本8.3.0仍受该漏洞影响。

建议修复方案：

设置如IP黑名单、白名单等访问策略。

漏洞复现：

（此为本地搭建的环境）

参考链接/信息来源：

twitter