Grafana 的 No-Op 验证器如何将匿名访问变为预认证 SSRFApr 8, 2026TL;DR Grafana OSS 为数据源代理端点内置了一个 no-op 请求验证器,始终返回 nil,SSRF 防护为零。 结合两项默认配置,这使得未认证用户能够通过代理向 Grafana 服务器可达的任意内部服务发起 HTTP 请求。 对 Shodan 上 1,000 个随机实例的扫描发现,约 7,800 个暴露 …#vulnerability-research #SSRF #grafana