Grafana示意圖,圖片來源/Grafana

開源的分析暨互動式視覺化應用Grafana在本周二(12/7)緊急釋出更新,以修補已出現攻擊程式的CVE-2021-43798漏洞。

Grafana可連結各種資料來源,並提供圖表、圖形或警報,為監控堆疊的熱門元件,經常與時序資料庫、監控平臺、資安事件管理平臺及其它資料來源一起使用。

資安研究人員是在12月3日通報Grafana,指出該應用含有一個目錄穿越(Directory Traversal)漏洞,允許駭客存取本地檔案。Grafana內部確認該漏洞波及Grafana 8.0.0 Beta1至Grafana 8.3.0版,而且只要預裝Prometheus或MySQL等外掛的Grafana實例都遭到牽連,惟Grafana Cloud並未受到影響。

Grafana原本計畫要在7日通知客戶,14日才會對外發表,然而,CVE-2021-43798漏洞資訊不但先行曝光,相關的概念性驗證攻擊程式也現身於Twitter及GitHub,使得Grafana決定提前對外公開,並建議使用者儘速部署已修補該漏洞的Grafana 8.0.7/8.1.8/8.2.7/8.3.1。


熱門新聞

Advertisement