漏洞名称:
Grafana 身份认证绕过漏洞(CVE-2023-3128)
组件名称:
Grafana
影响范围:
10.0.0 <= Grafana < 10.0.1,
9.5.0 <= Grafana < 9.5.5,
9.4.0 <= Grafana < 9.4.13,
9.3.0 <= Grafana < 9.3.16,
9.2.0 <= Grafana < 9.2.20,
8.5.0 <= Grafana < 8.5.27
漏洞类型:
认证绕过
利用条件:
1、用户认证:否
2、前置条件:未知
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知
<综合评定威胁等级>:高危,能造成认证绕过。
官方解决方案:
已发布
漏洞分析
组件介绍
Grafana是一款开源的数据可视化和监控平台,它可以帮助用户通过各种数据源创建和共享交互式、可定制的仪表盘和报表。主要用于监控和分析Graphite、InfluxDB和Prometheus等。
漏洞简介
2023年6月26日,深信服安全团队监测到一则Grafana组件存在身份认证绕过漏洞的信息,漏洞编号:CVE-2023-3128,漏洞威胁等级:高危。
该漏洞是由于Grafana和AzureAD配置文件的电子邮件字段不是唯一的,容易被修改。攻击者可在未授权的情况下,利用该漏洞构造恶意数据,执行身份认证绕过攻击,最终接管受影响的Grafana账户。
影响范围
目前受影响的Grafana版本:
10.0.0 <= Grafana < 10.0.1,
9.5.0 <= Grafana < 9.5.5,
9.4.0 <= Grafana < 9.4.13,
9.3.0 <= Grafana < 9.3.16,
9.2.0 <= Grafana < 9.2.20,
8.5.0 <= Grafana < 8.5.27
解决方案
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
深信服解决方案
1.风险资产发现
支持对 Grafana的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服主机安全检测响应平台CWPP】已发布资产检测方案。
【深信服云镜YJ】已发布资产检测方案。
参考链接
https://grafana.com/security/security-advisories/cve-2023-3128/
时间轴
深信服监测到Grafana 身份认证绕过漏洞(CVE-2023-3128)攻击信息。
深信服千里目安全技术中心发布漏洞通告。
原文始发于微信公众号(深信服千里目安全技术中心):Grafana 身份认证绕过漏洞CVE-2023-3128
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论