，圖形圖像識別方案供應(yīng)商 Grafana 日前發(fā)布安全通告，表示旗下 Grafana 環(huán)境存在重大漏洞 CVE-2023-3128，黑客可利用該漏洞接管挾持所登錄的微軟 Azure AD 賬號。

據(jù)悉，這項(xiàng)漏洞起因是 Grafana 平臺使用電子郵件信箱來驗(yàn)證 Azure AD 賬號，一旦黑客對此加以利用，就能在采用 Azure AD 的 OAuth 身份驗(yàn)證的 Grafana 環(huán)境當(dāng)中，繞過身份驗(yàn)證并接管 Azure AD 的用戶賬號。

IT之家注意到，該漏洞 CVSS 風(fēng)險評分為 9.4，影響 6.7.0 版以上的 Grafana，目前 Grafana 已經(jīng)對此推出了以下更新版本來解決相關(guān)漏洞問題:

• 8.5.27；

• 9.2.20；

• 9.3.16；

• 9.4.13；

• 9.5.5；

• 10.0.1。

同時開發(fā)團(tuán)隊(duì)也為 Grafana Cloud 完成了相關(guān)漏洞修復(fù)工作。而對于暫時無法安裝更新程序的用戶，他們也提出緩解措施:

將 allowed_groups 配置添加到 Azure AD 配置，這將確保當(dāng)用戶登錄時，他們也是 Azure AD 中組的成員，可令黑客無法使用任意電子郵件地址進(jìn)行攻擊。

廣告聲明:本文含有的對外跳轉(zhuǎn)鏈接，用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考。IT之家所有文章均包含本聲明。