Grafana 的 No-Op 验证器如何将匿名访问变为预认证 SSRF

Wed, 08 Apr 2026 00:00:00 +0000

TL;DR

Grafana OSS 为数据源代理端点内置了一个 no-op 请求验证器，始终返回 nil，SSRF 防护为零。
结合两项默认配置，这使得未认证用户能够通过代理向 Grafana 服务器可达的任意内部服务发起 HTTP 请求。
对 Shodan 上 1,000 个随机实例的扫描发现，约 7,800 个暴露在互联网上的 Grafana 实例开启了匿名访问，可直接利用，无需任何凭据。
在启用了 IMDSv1 的 EC2 上，这意味着无需登录即可窃取完整的 AWS 凭据：AccessKeyId、SecretAccessKey、会话令牌。
Grafana Enterprise 版本内置了真实的验证器，OSS 版本没有。这是一个刻意的产品划分。
已提交至 Grafana 漏洞奖励计划，被标记为超出范围。MITRE 已分配编号 CVE-2026-39104。

Grafana 的数据源代理是一项合法功能。你配置一个数据源（Prometheus、InfluxDB 等）并指定后端 URL，Grafana 代表仪表板用户将查询转发到该数据源。这样既能将凭据保留在服务端，又能避免 CORS 问题。

端点格式如下：

1

GET /api/datasources/proxy/uid/{uid}/path/to/resource

正常使用场景：仪表板执行结构化查询，Grafana 将其转发到数据源，响应返回。流程清晰。

问题在于：该端点同时充当原始 HTTP 代理，会将你附加的任意路径直接转发到所配置的数据源 URL，而 OSS 版本中没有任何代码对该 URL 的目标进行验证。

三个组件组合在一起构成预认证 SSRF：