漏洞预警 | Grafana身份认证绕过漏洞

admin 2023年6月26日22:53:38评论31 views字数 466阅读1分33秒阅读模式
0x00 漏洞编号
  • CVE-2023-3128

0x01 危险等级
  • 高危
0x02 漏洞概述

Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具,该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。

漏洞预警 | Grafana身份认证绕过漏洞

0x03 漏洞详情

CVE-2023-3128
漏洞类型:身份认证缺陷
影响:服务接管
简述:由于Grafana和 Azure AD租户对于电子邮件地址的处理存在差异,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,绕过身份认证接管Grafana账户。

0x04 影响版本
  • 10.0 <= Grafana <= 10.0.1

  • 9.5.0 <= Grafana <= 9.5.5

  • 9.4.0 <= Grafana <= 9.4.13

  • 9.3.0 <= Grafana <= 9.3.16

  • 9.2 <= Grafana <= 9.2.20

  • 8.5 <= Grafana <= 8.5.27

0x05 修复建议

目前官方已发布漏洞修复版本,建议用户升级到安全版本
https://grafana.com/


原文始发于微信公众号(浅安安全):漏洞预警 | Grafana身份认证绕过漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月26日22:53:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞预警 | Grafana身份认证绕过漏洞https://cn-sec.com/archives/1835207.html

发表评论

匿名网友 填写信息