阿里云漏洞库

CVE编号

CVE-2018-15727

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2018-08-30

Grafana是一个开源的、功能丰富的指标仪表板和支持Graphite、Elasticsearch、OpenTSDB、Prometheus及InfluxDB的图形编辑器。

Grafana存在认证绕过漏洞。该漏洞源于攻击者可仅利用LDAP或Oauth用户名即可生成有效的‘remember me’ cookie。攻击者可利用该漏洞绕过身份验证。

受影响版本：Grafana 2.x版本，3.x版本，4.6.4之前的4.x版本，5.2.3之前的5.x版本。

厂商已发布了漏洞修复程序，请及时关注更新：

https://grafana.com/blog/2018/08/29/grafana-5.2.3-and-4.6.4-released-with-important-security-fix/

参考链接
http://www.securityfocus.com/bid/105184
https://access.redhat.com/errata/RHSA-2018:3829
https://access.redhat.com/errata/RHSA-2019:0019
https://grafana.com/blog/2018/08/29/grafana-5.2.3-and-4.6.4-released-with-imp...

CWE-ID	漏洞类型
CWE-287	认证机制不恰当