漏洞标题
N/A
漏洞描述信息
Grafana 是一个开源的监控和可观测性平台。
在 Grafana 企业版中,请求安全是一个拒绝列表,允许管理员以某种方式配置 Grafana,从而使实例不会调用特定的主机。
然而,可以通过使用请求地址中的字符的 punycode 编码绕过此限制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
漏洞类别
服务端请求伪造(SSRF)
漏洞标题
N/A
漏洞描述信息
Grafana is an open-source platform for monitoring and observability.
In Grafana Enterprise, Request security is a deny list that allows admins to configure Grafana in a way so that the instance doesn’t call specific hosts.
However, the restriction can be bypassed used punycode encoding of the characters in the request address.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:L
漏洞类别
宽松定义的白名单
漏洞标题
Grafana 安全漏洞
漏洞描述信息
Grafana是Grafana开源的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。 Grafana Enterprise存在安全漏洞,该漏洞源于允许攻击者以绕过请求地址中字符的punycode编码限制。
CVSS信息
N/A
漏洞类别
其他