CVE-2019-15043 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Grafana 快照 API 的**访问控制错误**。 💥 **后果**:攻击者可**任意创建/删除快照**,导致**拒绝服务 (DoS)**。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:**不正确的访问控制**。 📉 **CWE**:数据中未提供具体 CWE ID。
Q3影响谁?(版本/组件)
📦 **影响组件**:**Grafana** 开源监控工具。 📅 **受影响版本**:**2.x 至 6.x**(具体为 6.3.4 之前版本)。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**:无需认证即可操作快照。 🗑️ **具体行为**:**创建**和**删除**任意快照,引发服务不可用。
Q5利用门槛高吗?(认证/配置)
🔓 **利用门槛**:**低**。 🚫 **认证要求**:**无需认证**(Unauthenticated),直接利用 API 即可。
Q6有现成Exp吗?(PoC/在野利用)
💻 **现成 Exp**:**有**。 🔗 **PoC 链接**:GitHub 上有 Python 扫描脚本 (`cve-2019-15043.py`) 及 Nuclei 模板。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查 Grafana 版本是否 < 6.3.4。 2. 测试快照 API 是否允许**未授权请求**。 3. 使用提供的 PoC 脚本扫描。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:**已修复**。 ✅ **安全版本**:**5.4.5** 和 **6.3.4** 及以上版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:数据中未提供具体临时缓解措施。 💡 **建议**:若无法立即升级,建议**限制 API 访问**或**禁用快照功能**(需结合通用安全实践)。
Q10急不急?(优先级建议)
🚨 **优先级**:**高**。 ⚡ **理由**:无需认证即可导致 DoS,且已有公开 PoC,极易被利用。