北京师范大学网络与信息安全服务平台
   
当前位置: 首页 » 漏洞公告
Grafana认证绕过漏洞
发布时间: 2018-09-05  

CNVD-ID CNVD-2018-17485
公开日期 2018-09-05
危害级别
影响产品 Grafana Grafana 2.*
Grafana Grafana 3.*
Grafana Grafana 4.*,<4.6.4
Grafana Grafana 5.*,<5.2.3
CVE ID CVE-2018-15727
漏洞描述 Grafana是一个开源的、功能丰富的指标仪表板和支持Graphite、Elasticsearch、OpenTSDB、Prometheus及InfluxDB的图形编辑器。

Grafana存在认证绕过漏洞。该漏洞源于攻击者可仅利用LDAP或Oauth用户名即可生成有效的‘remember me’ cookie。攻击者可利用该漏洞绕过身份验证。
参考链接 https://nvd.nist.gov/vuln/detail/CVE-2018-15727
漏洞解决方案 厂商已发布了漏洞修复程序,请及时关注更新:
https://grafana.com/blog/2018/08/29/grafana-5.2.3-and-4.6.4-released-with-important-security-fix/
厂商补丁 Grafana认证绕过漏洞的补丁
验证信息 (暂无验证信息)
报送时间 2018-08-30
收录时间 2018-09-05
更新时间 2018-09-05
漏洞附件 (无附件)

 

北京师范大学网络与信息安全服务平台