CVE-2020-13379 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Grafana Avatar 功能存在 **SSRF（服务器端请求伪造）** 漏洞。<br>🔥 **后果**：攻击者可利用该漏洞实现 **远程代码执行 (RCE)**，并探测内网网络结构。

🛡️ **根本原因**：**不正确的访问控制** (Incorrect Access Control)。<br>⚠️ 虽然数据中 CWE 为空，但核心缺陷在于未限制 Avatar 请求的目标 URL。

📦 **影响范围**：Grafana **3.0.1 至 7.0.1** 版本。<br>🔧 **组件**：主要涉及 **Avatar（头像）** 功能模块。

💀 **黑客能力**：<br>1. 向 **任意 URL** 发送 HTTP 请求。<br>2. 获取请求返回的信息（包括内网信息）。<br>3. 潜在导致 **RCE**、数据修改或未授权管理操作。

🔓 **利用门槛**：**极低**。<br>✅ **无需认证**：任何未认证的用户/客户端均可利用。<br>🌐 远程即可触发。

💻 **Exp 现状**：<br>🔍 **有 PoC**：ProjectDiscovery nuclei 模板已收录。<br>📝 **有详细 Write-up**：rhynorater 发布了利用分析文章。<br>⚠️ 存在在野利用风险（参考 Ambari 升级案例）。

🔍 **自查方法**：<br>1. 检查 Grafana 版本是否在 **3.0.1 - 7.0.1** 区间。<br>2. 使用 Nuclei 模板 `CVE-2020-13379.yaml` 进行扫描。<br>3. 测试 Avatar 接口是否响应外部或内网 URL 请求。

🛠️ **官方修复**：**已修复**。<br>📅 修复版本：**6.7.4** 和 **7.0.2**。<br>📢 2020年6月9日已发布安全公告。

🚧 **临时规避**：<br>1. **升级**至 6.7.4+ 或 7.0.2+（推荐）。<br>2. 若无法升级，限制 Grafana 服务器对 **内网/元数据服务** 的网络访问。<br>3. 配置 WAF 拦截异常的 Avatar 请求参数。

🚨 **优先级**：**紧急 (Critical)**。<br>💡 **理由**：无需认证 + SSRF 导致 RCE + 内网探测。建议立即升级或实施网络隔离。