【安全通告】Grafana 任意文件读取漏洞风险通告

尊敬的腾讯云用户，您好！

腾讯云安全运营中心监测到， Grafana被披露出存在任意文件读取漏洞，目前官方已发布安全公告及安全更新，分配漏洞编号：CVE-2021-43798。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。

Grafana 存在未授权任意文件读取漏洞，攻击者可在未经身份验证的情况下，通过该漏洞读取主机上的任意文件。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致未授权任意文件读取

影响版本

Grafana 8.0.0 - 8.3.0

安全版本

Grafana 8.3.1, 8.2.7, 8.1.8, 8.0.7

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

其他临时缓解措施：
受影响的客户可以使用腾讯T-Sec云防火墙或安全组等措施设置Grafana仅对白名单地址开放，临时缓解该漏洞。

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

腾讯云安全解决方案

- 腾讯T-Sec漏洞扫描服务、腾讯T-Sec主机安全（云镜）已支持检测企业资产是否存在Grafana任意文件读取漏洞；

- 腾讯T-Sec高级威胁检测系统（NTA，御界）、腾讯T-Sec Web应用防火墙均已升级，支持检测、或拦截Grafana 任意文件读取漏洞的攻击利用。