Grafana 未经授权任意访问漏洞(CVE-2022-32275)

本文涉及的产品
可观测可视化 Grafana 版,10个用户账号 1个月
简介: Grafana 未经授权任意访问漏洞(CVE-2022-32275)

CVE-2022-32275漏洞是由于Grafana存在未授权访问漏洞,攻击者可以通过特定url,访问任意用户系统界面及读取任意文件。该漏洞影响范围一般。该问题已在新版本中修复,建议用户更新到最新版本。

编号      CVE-2022-32275
标题 Grafana 未经身份验证漏洞
描述

Grafana是一个开源的可视化和分析平台。在 8.4.3 版本,Grafana允许通过 /dashboard/snapshot/%7B%7Bconstructor.constructor’/… /… /… /… /… /… /… /… /etc/passwd URI 读取文件等。攻击者可利用该漏洞读取任意文件。

漏洞级别 高危
影响组件 Grafana
影响范围 一般

参考链接:

https://nvd.nist.gov/vuln/detail/CVE-2022-32275

MISC:https://github.com/BrotherOfJhonny/grafana/blob/main/README.md


【使用墨菲安全的开源工具帮您快速检测代码安全】


墨菲安全旗下开源组件安全检测产品,为帮助每一个开发者更安全的使用开源代码,核心引擎已开源,欢迎广大开发者使用!

1.png

开源地址:https://github.com/murphysecurity/murphysec

产品官网:https://murphysec.com

IDE插件:欢迎在Jetbrains IDE插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复~

1.png

CLI工具:

image.png

控制台详情:

1.png

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析(SCA)等,丰富的安全工具助您打造完备的软件开发安全能力(DevSecOps)。产品支持SaaS、私有化部署。公司核心团队来自百度、华为等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。


【关于墨菲安全实验室】


墨菲安全实验室是墨菲未来科技旗下的安全研究团队,专注于软件供应链安全相关领域的技术研究,关注的方向包括:开源软件安全、程序分析、威胁情报分析、企业安全治理等。

相关实践学习
通过可观测可视化Grafana版进行数据可视化展示与分析
使用可观测可视化Grafana版进行数据可视化展示与分析。
相关文章
|
分布式计算 安全 调度
PowerJob未授权访问漏洞(CVE-2023-29922)
PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞,该漏洞源于存在不正确访问控制。
1055 1
PowerJob未授权访问漏洞(CVE-2023-29922)
|
安全 数据挖掘
CVE-2021-41277——Metabase 信息泄露漏洞
CVE-2021-41277——Metabase 信息泄露漏洞
652 0
CVE-2021-41277——Metabase 信息泄露漏洞
|
4月前
|
安全 C#
【Azure 应用服务】在安全漏洞扫描中发现有泄露服务器IIS版本的情况,如何实现屏蔽服务版本号信息呢?
【Azure 应用服务】在安全漏洞扫描中发现有泄露服务器IIS版本的情况,如何实现屏蔽服务版本号信息呢?
168 1
|
7月前
|
存储 安全 前端开发
WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析
WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析
271 0
|
安全 API 数据库
Joomla未授权访问漏洞(CVE-2023-23752)
Joomla是一套全球知名的内容管理系统(CMS),其使用PHP语言加上MySQL数据库所开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。
430 1
|
Web App开发 安全 数据安全/隐私保护
JumpServer未授权访问漏洞(CVE-2023-42442)
JumpServer的权限管理存在缺陷,未经授权的远程攻击者可以下载历史会话连接期间的所有操作日志,可导致敏感信息泄漏。
409 1
|
安全 关系型数据库 MySQL
Joomla 未授权访问漏洞 CVE-2023-23752
Joomla是一套全球知名的内容管理系统(CMS),其使用PHP语言加上MySQL数据库所开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。 2月16日,Joomla官方发布安全公告,修复了Joomla! CMS中的一个未授权访问漏洞(CVE-2023-23752),目前该漏洞的细节及PoC/EXP已公开。 Joomla! CMS 版本4.0.0 - 4.2.7中由于对web 服务端点访问限制不当,可能导致未授权访问Rest API,造成敏感信息泄露(如数据库账号密码等)。
227 0
Joomla 未授权访问漏洞 CVE-2023-23752
|
安全 API
api漏洞系列-shopify中一个越权漏洞
主要逻辑 这是文档中所讲到的应用程序可以访问的范围(https://docs.shopify.com/api/authentication/oauth#scopes),但应用可以请求/获得更多范围的访问权,而其中有些范围本不应该是可访问的。
312 1
api漏洞系列-shopify中一个越权漏洞
|
安全 API Android开发
api漏洞系列-一个越权漏洞
主要逻辑 Fabric平台帮助你构建更稳定的应用程序,通过世界上最大的移动广告交易平台产生收入,并使你能够利用Twitter的登录系统和丰富的实时内容,实现更大的分发和更简单的身份识别; 在注册功能(主要是为公司注册)中,缺少适当的授权检查,允许任何用户窃取API令牌。
278 1
api漏洞系列-一个越权漏洞
|
供应链 安全 IDE
BigBlueButton 授权不当漏洞(CVE-2022-29236)
BigBlueButton 授权不当漏洞(CVE-2022-29236)
BigBlueButton 授权不当漏洞(CVE-2022-29236)