開源的分析暨視覺化應用Grafana緊急修補出現攻擊程式的安全漏洞

開源的分析暨互動式視覺化應用Grafana在本周二（12/7）緊急釋出更新，以修補已出現攻擊程式的CVE-2021-43798漏洞。

Grafana可連結各種資料來源，並提供圖表、圖形或警報，為監控堆疊的熱門元件，經常與時序資料庫、監控平臺、資安事件管理平臺及其它資料來源一起使用。

資安研究人員是在12月3日通報Grafana，指出該應用含有一個目錄穿越（Directory Traversal）漏洞，允許駭客存取本地檔案。Grafana內部確認該漏洞波及Grafana 8.0.0 Beta1至Grafana 8.3.0版，而且只要預裝Prometheus或MySQL等外掛的Grafana實例都遭到牽連，惟Grafana Cloud並未受到影響。

Grafana原本計畫要在7日通知客戶，14日才會對外發表，然而，CVE-2021-43798漏洞資訊不但先行曝光，相關的概念性驗證攻擊程式也現身於Twitter及GitHub，使得Grafana決定提前對外公開，並建議使用者儘速部署已修補該漏洞的Grafana 8.0.7/8.1.8/8.2.7/8.3.1。