xxx: а меня одного в офисе статическим электричеством херачит постоянно от техники и металла?
yyy: статику обычно nginx раздает
yyy: статику обычно nginx раздает
Forwarded from ДевОпс Інженер 🇺🇦 (Oleg Mykolaichenko)
Grafana 8.0+ 0 Day LFI
Прикривайте Grafana фаерволами и меняйте все секреты, потому что если у вас есть grafana-clock-panel - вы подвержены 0day уязвимости. Простой GET запрос такого типа будет работать:
Уязвимый кусок кода:
https://github.com/grafana/grafana/blob/main/pkg/api/plugins.go#L300-L303
Пример работы уязвимости:
https://github.com/Vulnmachines/grafana-unauth-file-read
BugBounty в Twitter:
https://twitter.com/naglinagli/status/1468155313182416899
За новость спасибо Pavel Dmytrenko 🙏
UPD1: В clickhouse-grafana такая же беда - Serhii Mikhno
UPD2: Уязвимые плагины: https://github.com/projectdiscovery/nuclei-templates/blob/master/vulnerabilities/grafana/grafana-file-read.yaml
Прикривайте Grafana фаерволами и меняйте все секреты, потому что если у вас есть grafana-clock-panel - вы подвержены 0day уязвимости. Простой GET запрос такого типа будет работать:
`GET /public/plugins/grafana-clock-panel/../../../../../../../etc/passwd`Уязвимый кусок кода:
https://github.com/grafana/grafana/blob/main/pkg/api/plugins.go#L300-L303
Пример работы уязвимости:
https://github.com/Vulnmachines/grafana-unauth-file-read
BugBounty в Twitter:
https://twitter.com/naglinagli/status/1468155313182416899
За новость спасибо Pavel Dmytrenko 🙏
UPD1: В clickhouse-grafana такая же беда - Serhii Mikhno
UPD2: Уязвимые плагины: https://github.com/projectdiscovery/nuclei-templates/blob/master/vulnerabilities/grafana/grafana-file-read.yaml
GitHub
grafana/pkg/api/plugins.go at main · grafana/grafana
The open and composable observability and data visualization platform. Visualize metrics, logs, and traces from multiple sources like Prometheus, Loki, Elasticsearch, InfluxDB, Postgres and many mo...