CVE-2021-39226 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Grafana 授权逻辑缺陷，导致**未授权访问**。 📉 **后果**：攻击者可查看、甚至删除监控快照，造成**数据泄露**和**服务中断**。 💥 **CVSS评分**：高危 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。

🔍 **CWE-287**：身份验证不当。 🐛 **缺陷点**：路径 `/dashboard/snapshot/:key` 和 `/api/snapshot/:key` 未严格校验权限。 ⚠️ **逻辑漏洞**：默认访问**最低数据库键**的快照，且未区分用户状态。

🏢 **厂商**：Grafana Labs。 📦 **产品**：Grafana 开源监控工具。 📅 **受影响版本**： - **7.5.11 及以下** - **8.1.5 及以下** （需升级至 7.5.11+ 或 8.1.6+）。

👁️ **查看**：未认证用户可查看**最低ID**的快照数据。 🗑️ **删除**： - 若快照设为**公共模式**，未认证用户可删除。 - **已认证**用户可删除**任意**快照（无论是否公共模式）。 📊 **数据**：监控指标、图表配置等敏感信息泄露。

🚪 **认证**：**极低**。 - **未认证**用户即可触发（访问最低键快照）。 - **已认证**用户权限过大（可删任意快照）。 ⚙️ **配置依赖**：删除操作部分依赖 `snapshot_public_mode` 配置（默认关闭，但认证用户不受限）。

🧪 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei 模板。 🌐 **在野利用**：数据未明确提及大规模在野，但**利用门槛极低**，风险极高。

🔎 **扫描特征**： - 访问 `/api/snapshot/1` (或最低键) - 访问 `/dashboard/snapshot/:key` - 检查响应是否返回快照数据 🛠️ **工具**：使用 Nuclei 模板 `CVE-2021-39226.yaml` 快速检测。

✅ **官方已修复**。 📌 **修复版本**： - **Grafana 7.5.11** - **Grafana 8.1.6** 🔗 **参考**：Grafana 官方 Release Notes 及安全公告。

🛡️ **临时规避**： 1. **升级**至安全版本（首选）。 2. 若无法升级，确保 `snapshot_public_mode` 为 **false**（仅防未认证删除，不防查看）。 3. **网络隔离**：限制 Grafana 管理接口对外暴露。 4. **WAF规则**：拦截对 `/api/snapshot/` 和 `/dashboard/snapshot/` 的异常访问。

🔥 **优先级**：**紧急**。 ⚡ **理由**： - **无需认证**即可泄露数据。 - **CVSS 10分**级高危。 - 监控数据通常含核心业务指标，泄露后果严重。 👉 **行动**：立即升级或实施网络隔离。