你的位置:首页 > 财经 > 正文

图形图像识别方案供应商Grafana曝出重大漏洞,可挟持微软AzureA

作者:夏冰 2023-06-29 14:03  来源:IT之家  阅读量:10262   
文章摘要
,图形图像识别方案供应商Grafana日前发布安全通告,表示旗下Grafana环境存在重大漏洞CVE-2023-3128,黑客可利用该漏洞接...

,图形图像识别方案供应商 Grafana 日前发布安全通告,表示旗下 Grafana 环境存在重大漏洞 CVE-2023-3128,黑客可利用该漏洞接管挟持所登录的微软 Azure AD 账号。

据悉,这项漏洞起因是 Grafana 平台使用电子邮件信箱来验证 Azure AD 账号,一旦黑客对此加以利用,就能在采用 Azure AD 的 OAuth 身份验证的 Grafana 环境当中,绕过身份验证并接管 Azure AD 的用户账号。

IT之家注意到,该漏洞 CVSS 风险评分为 9.4,影响 6.7.0 版以上的 Grafana,目前 Grafana 已经对此推出了以下更新版本来解决相关漏洞问题:

  • 8.5.27;

  • 9.2.20;

  • 9.3.16;

  • 9.4.13;

  • 9.5.5;

  • 10.0.1。

同时开发团队也为 Grafana Cloud 完成了相关漏洞修复工作。而对于暂时无法安装更新程序的用户,他们也提出缓解措施:

将 allowed_groups 配置添加到 Azure AD 配置,这将确保当用户登录时,他们也是 Azure AD 中组的成员,可令黑客无法使用任意电子邮件地址进行攻击。

广告声明:本文含有的对外跳转链接,用于传递更多信息,节省甄选时间,结果仅供参考。IT之家所有文章均包含本声明。

郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。

上一篇:Keychron推出K14Pro

下一篇:返回列表

分享到:
Copyright 2014-2020 免责声明 http://www.cshy5.cn 网站首页| 投诉与建议 | 网站地图 | |备案号: 闽ICP备2022005363号-4 认证