阿里云漏洞库

CVE编号

CVE-2021-41174

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-11-04

Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。

Grafana 存在跨站脚本漏洞，该漏洞源于没有对 URL 进行验证，导致 AngularJS 渲染引擎执行 URL 中包含的 JavaScript 表达式。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/grafana/grafana/security/advisories/GHSA-3j9m-hcv9-rpj8

参考链接
https://github.com/grafana/grafana/commit/31b78d51c693d828720a5b285107a50e6024c912
https://github.com/grafana/grafana/commit/3cb5214fa45eb5a571fd70d6c6edf0d729983f82
https://github.com/grafana/grafana/commit/fb85ed691290d211a5baa44d9a641ab137f0de88
https://github.com/grafana/grafana/security/advisories/GHSA-3j9m-hcv9-rpj8
https://security.netapp.com/advisory/ntap-20211125-0003/

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	grafana	grafana	*	From (including) 8.0.0	Up to (excluding) 8.2.3
	运行在以下环境
	系统	opensuse_Leap_15.3	grafana	*		Up to (excluding) 8.5.13-150200.3.29.5
	运行在以下环境
	系统	opensuse_Leap_15.4	wire	*		Up to (excluding) 0.1.1665997480.587fa10-150000.1.41.1
	运行在以下环境
	系统	suse_12_SP5	golang-github-prometheus-node_exporter	*		Up to (excluding) 1.3.0-1.15.3

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）