Grafana — это платформа визуализации данных с открытым исходным кодом. В затронутых версиях неаутентифицированные и аутентифицированные пол…

Grafana — это платформа визуализации данных с открытым исходным кодом. В затронутых версиях неаутентифицированные и аутентифицированные пользователи могут просматривать снимок с самым низким ключом базы данных, обращаясь к буквальным путям: /dashboard/snapshot/:key или /api/snapshots/:key. Если параметр конфигурации снимка "public_mode" установлен в значение true (в отличие от значения по умолчанию false), неаутентифицированные пользователи могут удалить снимок с самым низким ключом базы данных, обратившись к буквальному пути: /api/snapshots-delete/:deleteKey. Независимо от настройки "public_mode" снимка, аутентифицированные пользователи могут удалить снимок с самым низким ключом базы данных, обратившись к буквальным путям: /api/snapshots/:key или /api/snapshots-delete/:deleteKey. Комбинация удаления и просмотра обеспечивает полный проход по всем данным снимка, что приводит к полной потере данных снимка. Эта проблема была решена в версиях 8.1.6 и 7.5.11. Если по какой-либо причине вы не можете обновиться, вы можете использовать обратный прокси-сервер или аналогичный, чтобы заблокировать доступ к буквальным путям: /api/snapshots/:key, /api/snapshots-delete/:deleteKey, /dashboard/snapshot/:key и /api/snapshots/:key. У них нет нормальной функции, и их можно отключить без побочных эффектов.