http://burnedsignal.com/ru/tags/responsible-disclosure/Recent content in Responsible-Disclosure on burnedsignalHugoruWed, 08 Apr 2026 00:00:00 +0000http://burnedsignal.com/ru/posts/grafana-oss-preauth-ssrf/Wed, 08 Apr 2026 00:00:00 +0000http://burnedsignal.com/ru/posts/grafana-oss-preauth-ssrf/<h2 id="tldr">TL;DR</h2> <ul> <li>Grafana OSS поставляется с <strong>no-op валидатором запросов</strong> для эндпоинта прокси источников данных. Он всегда возвращает <code>nil</code>. Никакой защиты от SSRF.</li> <li>В сочетании с двумя конфигурациями по умолчанию это позволяет <strong>неаутентифицированным пользователям</strong> проксировать HTTP-запросы к любому внутреннему сервису, доступному с сервера Grafana.</li> <li>Сканирование через Shodan 1 000 случайных инстансов обнаружило <strong>~7 800 открытых в интернет инстансов Grafana</strong> с включённым анонимным доступом. Эксплуатируется напрямую, учётные данные не требуются.</li> <li>На EC2 с включённым IMDSv1 это означает <strong>полную кражу AWS-учётных данных без логина</strong>: AccessKeyId, SecretAccessKey, токен сессии.</li> <li>Grafana Enterprise поставляется с настоящим валидатором. OSS — нет. Это намеренное разделение продуктов.</li> <li>Отправлено в программу bug bounty Grafana, отмечено как вне области применения. Отслеживается как <strong><a href="https://www.cve.org/CVERecord?id=CVE-2026-39104">CVE-2026-39104</a></strong>, присвоено MITRE.</li> </ul> <hr> <h2 id="предыстория">Предыстория</h2> <p>Прокси источников данных Grafana — это легитимная функция. Вы настраиваете источник данных (Prometheus, InfluxDB и т.д.) с URL бэкенда, и Grafana проксирует к нему запросы от имени пользователей дашборда. Это позволяет держать учётные данные на стороне сервера и избегать проблем с CORS.</p>