北京师范大学网络与信息安全服务平台

当前位置：首页 » 漏洞公告

Grafana认证绕过漏洞

发布时间： 2018-09-05

CNVD-ID CNVD-2018-17485

公开日期 2018-09-05

危害级别中

影响产品 Grafana Grafana 2.*
Grafana Grafana 3.*
Grafana Grafana 4.*，<4.6.4
Grafana Grafana 5.*，<5.2.3

CVE ID CVE-2018-15727

漏洞描述 Grafana是一个开源的、功能丰富的指标仪表板和支持Graphite、Elasticsearch、OpenTSDB、Prometheus及InfluxDB的图形编辑器。

Grafana存在认证绕过漏洞。该漏洞源于攻击者可仅利用LDAP或Oauth用户名即可生成有效的‘remember me’ cookie。攻击者可利用该漏洞绕过身份验证。

参考链接 https://nvd.nist.gov/vuln/detail/CVE-2018-15727

漏洞解决方案厂商已发布了漏洞修复程序，请及时关注更新：
https://grafana.com/blog/2018/08/29/grafana-5.2.3-and-4.6.4-released-with-important-security-fix/

厂商补丁 Grafana认证绕过漏洞的补丁

验证信息 (暂无验证信息)

报送时间 2018-08-30

收录时间 2018-09-05

更新时间 2018-09-05

漏洞附件 (无附件)

北京师范大学网络与信息安全服务平台