关于Grafana身份认证绕过漏洞(CVE-2023-3128)的预警提示

发布者:jsut发布时间:2023-07-07浏览次数:837

一、漏洞详情

Grafana是一款用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,并带有告警功能。

近日,监测到Grafana中修复了一个身份认证绕过漏洞(CVE-2023-3128),Grafana根据电子邮件声明验证Azure Active Directory帐户,但在Azure AD上,配置文件电子邮件字段在Azure AD租户中并不唯一。威胁者可以创建一个与目标Grafana 账户相同的电子邮件地址的恶意帐户,利用该漏洞绕过身份验证接管目标用户的Grafana账户,从而访问敏感信息。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Grafana版本:>= 6.7.0

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Grafana 10.0.x 版本:10.0.1

Grafana 9.5.x 版本:9.5.5

Grafana 9.4.x 版本:9.4.13

Grafana 9.3.x 版本:9.3.16

Grafana 9.2.x 版本:9.2.20

Grafana 8.5.x 版本:8.5.27