漏洞描述
Grafana 3.0.1版本至7.0.1版本中的avatar功能存在SSRF漏洞,该漏洞源于不正确的访问控制。远程攻击者可利用该漏洞使其向任意URL发送请求,获取返回的信息(包括Grafana运行的网络)。
Grafana avatar 存在SSRF漏洞
PoC代码
暂无相关漏洞推荐
- Grafana Grafana 权限管理不当漏洞
- Grafana Image Renderer 插件 需授权 文件上传限制不当漏洞 可导致远程代码执行
- Grafana存在重定向漏洞(CVE-2025-4123)
- Grafana /avatar 服务器端请求伪造漏洞(CVE-2020-13379)
- POC CVE-2018-9205: Drupal avatar_uploader v7.x-1.0-beta8 - Local File Inclusion
- POC CVE-2019-15043: Grafana - Improper Access Control
- POC CVE-2020-11110: Grafana <= 6.7.1 - Cross-Site Scripting
- POC CVE-2020-13379: Grafana 3.0.1-7.0.1 - Server-Side Request Forgery
- POC CVE-2021-27358: Grafana Unauthenticated Snapshot Creation
- POC CVE-2021-39226: Grafana Snapshot - Authentication Bypass
- POC CVE-2021-41174: Grafana 8.0.0 <= v.8.2.2 - Angularjs Rendering Cross-Site Scripting
- POC CVE-2021-43798: Grafana v8.x - Arbitrary File Read
- POC CVE-2022-26148: Grafana & Zabbix Integration - Credentials Disclosure