>>>> 漏洞名称: Grafana 身份认证绕过漏洞 >>>> 组件名称: Grafana >>>> 漏洞类型: 身份认证缺陷 >>>> 利用条件:
1、用户认证:不需要 2、触发方式:远程
>>>> 综合评定利用难度: 简单 >>>> 综合评定威胁等级: 中 1 组件介绍
Grafana 是一跨平台的开源的可视化分析工具。目前网络架构和应用分析中最流行的时序数据展示工具,主要用于大规模指标数据的可视化展示。它可以简化监控的复杂度,只需要提供你需要监控的数据,就可以生成各种可视化仪表。同时它还有报警功能,在系统出现问题时即时通知。
2
由于Grafana和 Azure AD 租户对于电子邮件地址的处理存在差异,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞后可以绕过身份认证,接管Grafana 账户获取敏感信息等。
影响范围 10.0<=Grafana<=10.0.1 9.5.0<=Grafana<=9.5.5 9.4.0<=Grafana<=9.4.13 9.3.0<=Grafana<=9.3.16 9.2<=Grafana<=9.2.20 8.5<=Grafana<=8.5.27 修复建议 1 官方修复建议
官方已发布补丁,修复了此漏洞。受影响用户请尽快升级到安全版本。https://grafana.com/grafana/download
2 青藤产品解决方案
青藤万相·主机自适应安全平台已支持该漏洞的检测
漏洞时间线 2023年6月22日
Grafana官方发布安全公告,修复了一处身份认证绕过漏洞,漏洞编号为CVE-2023-3128
2023年6月26日 监听到漏洞信息 2023年6月27日 青藤复现漏洞
-完-
原文始发于微信公众号(青藤实验室):【已复现】Grafana 身份认证绕过漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论