(資料圖片)

IT之家 6 月 28 日消息，深度圖像識(shí)別方案供應(yīng)商 Grafana 日前發(fā)布安全通告，表示旗下 Grafana 環(huán)境存在重大漏洞 CVE-2023-3128，黑客可利用該漏洞接管挾持所登錄的微軟 Azure AD 賬號(hào)。

▲ 圖源 Grafana 官網(wǎng)

據(jù)悉，這項(xiàng)漏洞起因是 Grafana 平臺(tái)使用電子郵件信箱來(lái)驗(yàn)證 Azure AD 賬號(hào)，一旦黑客對(duì)此加以利用，就能在采用 Azure AD 的 OAuth 身份驗(yàn)證的 Grafana 環(huán)境當(dāng)中，繞過(guò)身份驗(yàn)證并接管 Azure AD 的用戶賬號(hào)。

IT之家注意到，該漏洞 CVSS 風(fēng)險(xiǎn)評(píng)分為 9.4，影響 6.7.0 版以上的 Grafana，目前 Grafana 已經(jīng)對(duì)此推出了以下更新版本來(lái)解決相關(guān)漏洞問(wèn)題：

8.5.27； 9.2.20； 9.3.16； 9.4.13； 9.5.5； 10.0.1。

同時(shí)開(kāi)發(fā)團(tuán)隊(duì)也為 Grafana Cloud 完成了相關(guān)漏洞修復(fù)工作。而對(duì)于暫時(shí)無(wú)法安裝更新程序的用戶，他們也提出緩解措施：

將 allowed_groups 配置添加到 Azure AD 配置，這將確保當(dāng)用戶登錄時(shí)，他們也是 Azure AD 中組的成員，可令黑客無(wú)法使用任意電子郵件地址進(jìn)行攻擊。

標(biāo)簽：