，圖形圖像識別方案供應商 Grafana 日前發(fā)布安全通告，表示旗下 Grafana 環(huán)境存在重大漏洞 CVE-2023-3128，黑客可利用該漏洞接管挾持所登錄的微軟 Azure AD 賬號。

據(jù)悉，這項漏洞起因是 Grafana 平臺使用電子郵件信箱來驗證 Azure AD 賬號，一旦黑客對此加以利用，就能在采用 Azure AD 的 OAuth 身份驗證的 Grafana 環(huán)境當中，繞過身份驗證并接管 Azure AD 的用戶賬號。

IT之家注意到，該漏洞 CVSS 風險評分為 9.4，影響 6.7.0 版以上的 Grafana，目前 Grafana 已經(jīng)對此推出了以下更新版本來解決相關漏洞問題:

• 8.5.27；

• 9.2.20；

• 9.3.16；

• 9.4.13；

• 9.5.5；

• 10.0.1。

同時開發(fā)團隊也為 Grafana Cloud 完成了相關漏洞修復工作。而對于暫時無法安裝更新程序的用戶，他們也提出緩解措施:

將 allowed_groups 配置添加到 Azure AD 配置，這將確保當用戶登錄時，他們也是 Azure AD 中組的成員，可令黑客無法使用任意電子郵件地址進行攻擊。

廣告聲明:本文含有的對外跳轉(zhuǎn)鏈接，用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考。IT之家所有文章均包含本聲明。