漏洞描述
当与Zabbix集成时,Grafana至7.3.4中发现了一个问题。Zabbix密码可以在api_jsonrpc中找到。phpHTML源代码。当用户登录并允许用户注册时,可以右键单击以查看源代码,并使用Ctrl-F在api_jsonrpc中搜索密码。php来发现Zabbix帐户密码和URL地址。
Grafana Zabbix集成密码泄露(CVE-2022-26148)
PoC代码
暂无相关漏洞推荐
- Grafana Grafana 权限管理不当漏洞
- Grafana Image Renderer 插件 需授权 文件上传限制不当漏洞 可导致远程代码执行
- Zabbix /api_jsonrpc.php SQL 注入漏洞(CVE-2024-36465)
- Grafana存在重定向漏洞(CVE-2025-4123)
- Grafana /avatar 服务器端请求伪造漏洞(CVE-2020-13379)
- POC CVE-2024-22120: Zabbix Server - Time-Based Blind SQL injection
- POC CVE-2016-10134: Zabbix - SQL Injection
- POC CVE-2019-15043: Grafana - Improper Access Control
- POC CVE-2019-17382: Zabbix <=4.4 - Authentication Bypass
- POC CVE-2020-11110: Grafana <= 6.7.1 - Cross-Site Scripting
- POC CVE-2020-13379: Grafana 3.0.1-7.0.1 - Server-Side Request Forgery
- POC CVE-2021-27358: Grafana Unauthenticated Snapshot Creation
- POC CVE-2021-39226: Grafana Snapshot - Authentication Bypass