CVE-2021-43798

Оценки

Оценка EPSS

0.9437

CVSS

3.x 7.5

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Все оценки CVSS

CVSS 4.0

0.0

CVSS 3.x

7.5

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0

5.0

Вектор: AV:N/AC:L/Au:N/C:P/I:N/A:N

Описание

Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдения. Grafana version 8.0.0-beta1 - 8.3.0 (за исключением исправленных версий) является уязвимой для обхода каталога, что позволяет получить доступ к локальным файлам. Уязвимый URL-адрес - это: "grafana_host_url>/public/plugins// , где ID плагина для любого установленного плагина. В одно время Графана Облако ни разу не была уязвима. Пользователям рекомендуется обновить до исправленных версий 8.0.7, 8.1.8, 8.2.7 или 8.3.1. GitHub Security Advisory содержит больше информации о уязвимых URL-путях, смягчении и временной шкале раскрытия информации.

Источники

debiannvdubuntu

CWE

CWE-22

Связанные уязвимости

BDU:2023-00493

Эксплойты

ID эксплойта: 50581

Источник: exploitdb

URL: https://www.exploit-db.com/exploits/50581

ID эксплойта: CVE-2021-43798

Источник: github-poc

URL: https://github.com/abuyazeen/CVE-2021-43798-Grafana-path-traversal-tester

Справочные ссылки

http://packetstormsecurity.com/files/165198/Grafana-Arbitrary-File-Reading.html

http://packetstormsecurity.com/files/165221/Grafana-8.3.0-Directory-Traversal-Arbitrary-File-Read.html

http://www.openwall.com/lists/oss-security/2021/12/09/2

http://www.openwall.com/lists/oss-security/2021/12/10/4

https://github.com/grafana/grafana/commit/c798c0e958d15d9cc7f27c72113d572fa58545ce

https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

https://grafana.com/blog/2021/12/08/an-update-on-0day-cve-2021-43798-grafana-directory-traversal/

https://security.netapp.com/advisory/ntap-20211229-0004/

https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

https://github.com/grafana/grafana/commit/c798c0e958d15d9cc7f27c72113d572fa58545ce

http://packetstormsecurity.com/files/165198/Grafana-Arbitrary-File-Reading.html

https://www.cve.org/CVERecord?id=CVE-2021-43798

https://www.cve.org/CVERecord?id=CVE-2021-43798 https://nvd.nist.gov/vuln/detail/CVE-2021-43798 https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

https://bugzilla.redhat.com/show_bug.cgi?id=2030422

Уязвимое ПО

Тип: Конфигурация

Продукт: grafana

Операционная система: ubuntu trusty 14.04

Характеристика:

{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: grafana

Операционная система: ubuntu xenial 16.04

Характеристика:

{
  "unfixed": true
}

Источник: ubuntu

Тип: Конфигурация

Продукт: grafana

Операционная система: debian

Характеристика:

{
  "unfixed": true
}

Источник: debian

Тип: Конфигурация

Поставщик: grafana

Продукт: grafana

Операционная система: * * *

Характеристика:

{
  "cpe_match": [
    {
      "cpe23uri": "cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*",
      "versionEndExcluding": "8.0.7",
      "versionStartIncluding": "8.0.1",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*",
      "versionEndExcluding": "8.1.8",
      "versionStartIncluding": "8.1.0",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*",
      "versionEndExcluding": "8.2.7",
      "versionStartIncluding": "8.2.0",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:grafana:grafana:8.0.0:beta1:*:*:*:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:grafana:grafana:8.0.0:beta2:*:*:*:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:grafana:grafana:8.0.0:beta3:*:*:*:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:grafana:grafana:8.3.0:*:*:*:*:*:*:*",
      "vulnerable": true
    }
  ],
  "operator": "OR"
}

Источник: nvd