Grafana任意文件读取0day漏洞（CVE-2021-43798）

2021-12-07

一、概要

近日，华为云关注到业界有安全研究人员披露Grafana存在一处任意文件读取0day漏洞（CVE-2021-43798），攻击者可以通过构造恶意请求触发该漏洞，造成在未经身份认证的情况下可读取目标主机上的任意文件。

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。华为云提醒使用Grafana的用户及时安排自检并做好安全加固以降低安全风险。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Grafana 8.0.0 - 8.3.0

安全版本：

Grafana 8.3.1, 8.2.7, 8.1.8, 8.0.7

四、漏洞处置

目前官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

若无法及时更新的用户，可参考如下建议进行临时规避：

1、设置Grafana仅对可信地址开放，即白名单访问；

2、如无必要，禁止系统对公网开放。

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。