关于Grafana身份认证绕过漏洞(CVE-2023-3128)的预警提示
发布时间:2023-08-23浏览次数:1649
一、漏洞详情 Grafana是一款用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,并带有告警功能。 近日,监测到Grafana中修复了一个身份认证绕过漏洞(CVE-2023-3128),Grafana根据电子邮件声明验证Azure Active Directory帐户,但在Azure AD上,配置文件电子邮件字段在Azure AD租户中并不唯一。威胁者可以创建一个与目标Grafana 账户相同的电子邮件地址的恶意帐户,利用该漏洞绕过身份验证接管目标用户的Grafana账户,从而访问敏感信息。 建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。 二、影响范围 Grafana版本:>= 6.7.0 三、修复建议 目前该漏洞已经修复,受影响用户可升级到以下版本: Grafana 10.0.x 版本:10.0.1 Grafana 9.5.x 版本:9.5.5 Grafana 9.4.x 版本:9.4.13 Grafana 9.3.x 版本:9.3.16 Grafana 9.2.x 版本:9.2.20 Grafana 8.5.x 版本:8.5.27 |