免费扫描
HIGHCVE-2023-5123CVSS 8

JSON 数据源插件中的路径清理不当

平台

other

组件

marcusolsson-json-datasource

修复版本

1.3.21

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月
在NVD查看
保存

CVE-2023-5123 是 Grafana JSON 数据源插件中的路径遍历漏洞。由于对仪表板提供的路径参数的清理不足,攻击者可以通过在路径参数中包含路径遍历字符(../)来访问配置端点外部的路径。此漏洞影响 Grafana JSON 数据源插件 0.2.0 到 1.3.21 版本。建议立即升级到 1.3.21 版本以消除此风险。

影响与攻击场景

该路径遍历漏洞允许攻击者绕过配置的子路径限制,访问 Grafana 服务器配置的远程 JSON 端点上的敏感文件或执行恶意操作。攻击者可以读取或修改服务器上的任意文件,这可能导致数据泄露、代码执行或系统控制。例如,攻击者可能能够读取包含数据库凭据的配置文件,或者修改 Grafana 仪表板以显示虚假数据。由于 Grafana 广泛应用于监控和可视化,因此此漏洞的潜在影响非常大,可能影响整个组织的安全态势。

利用背景

目前尚未公开发现利用此漏洞的活动,但由于该漏洞的严重性和易于利用性,预计未来可能会出现利用尝试。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的更新,并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations using Grafana with the JSON Datasource Plugin are at risk, particularly those with dashboards configured by multiple users or those who have not implemented strict input validation measures. Shared hosting environments where multiple Grafana instances share the same server are also at increased risk.

检测步骤翻译中…

• linux / server:

journalctl -u grafana | grep -i "path traversal"

• generic web:

curl -I 'http://your-grafana-instance/d/YOUR_DASHBOARD/your-query?path=../../../../etc/passwd' # Attempt to access sensitive file

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.53% (67% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H8.0HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionRequired是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityHigh数据未授权篡改风险AvailabilityHigh服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
高 — 攻击者可写入、修改或删除任何数据。
Availability
高 — 完全崩溃或资源耗尽,完全拒绝服务。

受影响的软件

组件marcusolsson-json-datasource
供应商Grafana
影响范围修复版本
0.2.0 – 1.3.211.3.21

弱点分类 (CWE)

CWE-22

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将 Grafana JSON 数据源插件升级到 1.3.21 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 Grafana 服务器的访问权限,只允许来自受信任网络的流量访问;配置防火墙规则,阻止对配置端点外部的请求;审查 Grafana 仪表板的配置,确保路径参数没有包含任何可疑字符。升级后,请验证插件版本是否已成功更新,并检查 Grafana 日志中是否有任何异常活动。

修复方法翻译中…

Actualice el plugin JSON Datasource a la versión 1.3.21 o superior. Esta versión corrige la vulnerabilidad de path traversal. Consulte el advisory de seguridad de Grafana para obtener más detalles.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2023-5123 — 路径遍历漏洞在 Grafana JSON 数据源插件中?

CVE-2023-5123 是 Grafana JSON 数据源插件中的一个安全漏洞,允许攻击者通过路径遍历技术访问配置端点外部的资源。

我是否受到 CVE-2023-5123 在 Grafana JSON 数据源插件中影响?

如果您正在使用 Grafana JSON 数据源插件的版本在 0.2.0 到 1.3.21 之间,则可能受到此漏洞的影响。

我如何修复 CVE-2023-5123 在 Grafana JSON 数据源插件中?

建议立即将 Grafana JSON 数据源插件升级到 1.3.21 或更高版本。

CVE-2023-5123 是否正在被积极利用?

目前尚未公开发现利用此漏洞的活动,但由于其严重性和易于利用性,预计未来可能会出现利用尝试。

在哪里可以找到 Grafana 官方关于 CVE-2023-5123 的公告?

请访问 Grafana 官方安全公告页面:https://grafana.com/grafana/plugins/marcusolsson-json-datasource/

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE