慢雾:Grafana 存在账户被接管和认证绕过漏洞,请相关方及时升级
ChainCatcher 消息,据慢雾消息,Grafana 发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前 PoC 在互联网上公开,已出现攻击案例。
Grafana 是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana 可以在网络浏览器里显示数据图表和警告。Grafana 根据电子邮件的要求来验证 Azure Active Directory 账户。在 Azure AD 上,配置文件的电子邮件字段在 Azure AD 租户之间是不唯一的。当 Azure AD OAuth 与多租户 Azure AD OAuth 应用配置在一起时,这可能会使 Grafana 账户被接管和认证绕过。其中,Grafana >= 6.7.0 受到影响。
加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将 Grafana 升级到最新版本。(来源链接)