ช่องโหว่ CVE-2021-43798 ของ Grafana 8.0.0-beta1 ขึ้นไปรั่วออกสู่สาธารณะหลังนักวิจัยเพิ่งรายงานไปยัง Grafana เมื่อสัปดาห์ที่ผ่านมา และกำลังอยู่ระหว่างการปล่อยแพตช์ตามรอบในวันที่ 14 ธันวาคมนี้ ส่งผลให้ Grafana ต้องรีบปล่อยแพตช์ฉุกเฉิน
ช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ใดๆในเครื่องของเหยื่อได้ หากเปิดเว็บ Grafana ให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้แฮกเกอร์อ่านไฟล์สำคัญในเครื่องได้จนยึดเครื่องได้ในที่สุด ทำให้ช่องโหว่มีความร้ายแรงสูง คะแนน CVSSv3.1 อยู่ที่ 7.5 คะแนน
ตอนนี้ Grafana ออกแพตช์ฉุกเฉินเป็นเวอร์ชั่น 8.3.1, 8.2.7, และ 8.0.7 โดย 8.1.8 ยังต้องรอก่อน แต่หากไม่พร้อมแพตช์สามารถใช้ ฟีเจอร์ normalize_path ใน reverse proxy เพื่อลดความเสี่ยงได้
ที่มา - Grafana
Hiring! บริษัทที่น่าสนใจ