Preface 　　Grafana是一個跨平台、開源的數據可視化網絡應用程序平台。用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana 存在未授權任意文件讀取漏洞，攻擊者在未經身份驗證的情況下可通過該漏洞讀取主機上的任意文件。 CVE編號 ...

0x00 漏洞詳情 由於用戶指定 HTTP InputSource 沒有做出限制，可以通過將文件 URL 傳遞給 HTTPInputSource 來繞過應用程序級別的限制。攻擊者可利用該漏洞在未授權情況下，構造惡意請求執行文件讀取，最終造成服務器敏感性信息泄露。 0x01 fofa語法 ...

漏洞原理： 由於用戶指定 HTTP InputSource 沒有做出限制，可以通過將文件 URL 傳遞給 HTTP InputSource 來繞過應用程序級別的限制。由於 Apache Druid 默認情況下是缺乏授權認證，攻擊者可利用該漏洞在未授權情況下，構造惡意請求執行文件讀取，最終造成 ...

漏洞說明 一個可繞過用戶登錄進行任意文件讀取的漏洞 環境搭建 我使用的是vulfocus提供的vulfocus/grafana-cve_2021_43798 ,由vulfocus后台統一管理 利用腳本 注：該腳本來自t00ls[Henry] 腳本 運行 ...

漏洞原理： 　　Grafana是一個跨平台、開源的數據可視化網絡應用程序平台。用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana 存在未授權任意文件讀取漏洞，攻擊者在未經身份驗證的情況下可通過該漏洞讀取主機上的任意文件。 CVE編號： 　　暫無，處 ...

CVE-2021-21402 Jellyfin任意文件讀取 漏洞簡介 jellyfin 是一個自由的軟件媒體系統，用於控制和管理媒體和流媒體。它是 emby 和 plex 的替代品，它通過多個應用程序從專用服務器向終端用戶設備提供媒體。Jellyfin 屬於 Emby 3.5.2 的下一代 ...

漏洞原理： 　　Grafana是一個跨平台、開源的數據可視化網絡應用程序平台。用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana 存在未授權任意文件讀取漏洞，攻擊者在未經身份驗證的情況下可通過該漏洞讀取主機上的任意文件。 CVE編號 ...

。在 CVE-2021-21972 VMware vCenter Server 遠程代碼漏洞 中，攻擊者可直接通過443 ...